Wiper (malware)

En seguridad informática, un wiper es una clase de malware destinado a borrar (wipe, de ahí el nombre) el disco duro u otra memoria estática del ordenador que infecta, borrando maliciosamente datos y programas.

Ejemplos

Un malware conocido como «Wiper» se utilizó supuestamente en ataques contra compañías petroleras iraníes. En 2012, la Unión Internacional de Telecomunicaciones proporcionó a Kaspersky Lab discos duros supuestamente dañados por Wiper para su análisis. Aunque no se pudo encontrar una muestra del supuesto malware, Kaspersky descubrió rastros de una pieza separada de malware conocida como Flame.^[1]^[2]^[3]

El malware Shamoon contenía un mecanismo de borrado de disco; se empleó en ataques de malware de 2012 y 2016 dirigidos a empresas energéticas saudíes, y utilizaba un controlador comercial de acceso directo a unidades conocido como Rawdisk. La variante original sobrescribía los archivos con porciones de una imagen de una quemando Bandera de los Estados Unidos. La variante de 2016 era casi idéntica, salvo que utilizaba una imagen del cuerpo de Alan Kurdi en su lugar.^[4]^[5]

Se utilizó un componente de borrado como parte del malware empleado por el Grupo Lazarus-un grupo de ciberdelincuentes con presuntos vínculos con Corea del Norte, durante el ciberataque a Corea del Sur de 2013, y el hackeo a Sony Pictures de 2014.^[6]^[7]^[8] El hackeo de Sony también utilizó RawDisk.^[4]

En 2017, ordenadores de varios países -los más destacados Ucrania, fueron infectados por NotPetya, que es una variante del ransomware Petya que era un limpiador en sentido funcional. El malware infecta el registro de arranque maestro con una carga útil que cifra la tabla de archivos interna del NTFS sistema de archivos. Aunque seguía exigiendo un rescate, se descubrió que el código se había modificado significativamente, de modo que la carga útil no podía revertir realmente sus cambios, incluso si el rescate se pagaba con éxito.^[9]^[10]

Durante los ciberataques de Ucrania de 2022 se descubrieron varias variantes de wiper malware en sistemas informáticos relacionados con Ucrania. Bautizados por los investigadores como CaddyWiper, HermeticWiper, IsaacWiper y FoxBlade, los programas mostraban poca relación entre sí, lo que hizo especular con la posibilidad de que hubieran sido creados por diferentes actores patrocinados por el Estado ruso especialmente para esta ocasión. ^[11]

Solución

La redundancia reactiva es una posible solución para la protección contra la destrucción de datos. Los investigadores son capaces de crear sistemas capaces de analizar los búferes de escritura antes de que lleguen a un medio de almacenamiento, determinar si la escritura es destructiva y preservar los datos bajo destrucción.^[12]

Referencias

↑ com/destructive-malware-five-wipers-in-the-spotlight/58194/ «Malware destructivo - Cinco limpiadores en el punto de mira». Securelist. Consultado el 3 de julio de 2017.
↑ Zetter, Kim. «El malware limpiador que afectó a Irán dejó posibles pistas sobre su origen». Wired. com (en inglés estadounidense). Consultado el 3 de julio de 2017.
↑ Erdbrink, Thomas (23 de abril de 2012). «Frente a un ciberataque, las autoridades iraníes desconectan algunas terminales petrolíferas de Internet». The New York Times. Archivado desde html el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012.
↑ ^a ^b «El malware limpiador Shamoon regresa con una venganza». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.
↑ <Perlroth, Nicole (24 de agosto de 2012). blogs.nytimes.com/2012/08/24/among-digital-crumbs-from-saudi-aramco-cyberattack-image-of-burning-u-s-flag/ «Entre las migajas digitales del ciberataque a Saudi Aramco, imagen de la bandera de Estados Unidos ardiendo». Bits. The New York Times. Consultado el 3 de julio de 2017.
↑ com/security/2014/12/inside-the-wiper-malware-that-brought-sony-pictures-to-its-knees/ «Dentro del malware «wiper» que puso de rodillas a Sony Pictures [Actualización]». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.
↑ Palilery, Jose (24 de diciembre de 2014). «Qué causó el hackeo de Sony: Lo que sabemos ahora». CNNMoney. Parámetro desconocido |fecha de acceso= ignorado (se sugiere |fechaacceso=) (ayuda)
↑ Zetter, Kim. «Los hackers de Sony estaban causando el caos años antes de golpear a la compañía». Wired. Consultado el 3 de julio de 2017.
↑ com/security/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/ «El brote masivo de ransomware del martes fue, de hecho, algo mucho peor». Ars Technica (en inglés estadounidense). 28 de junio de 2017. Consultado el 28 de junio de 2017.
↑ bbc.com/news/technology-40442578 «El ciberataque se trataba de datos y no de dinero, dicen los expertos». BBC News. 29 de junio de 2017. Consultado el 29 de junio de 2017.
↑ «Sicherheitsforscher finden neue Zerstörungs-Malware auf ukrainischen Computersystemen». standard.at. Consultado el 15 de marzo de 2022.
↑ Gutierrez, Christopher N.; Spafford, Eugene H.; Bagchi, Saurabh; Yurek, Thomas (1 de mayo de 2018). «Redundancia reactiva para la protección contra la destrucción de datos (R2D2)». Computers & Security 74: 184-201. ISSN 0167-4048. doi:10.1016/j.cose.2017.12.012.

Datos: Q8026703

[1] /destructive-malware-five-wipers-in-the-spotlight/58194/ «Malware destructivo - Cinco limpiadores en el punto de mira». Securelist. Consultado el 3 de julio de 2017.

[2] Zetter, Kim. «El malware limpiador que afectó a Irán dejó posibles pistas sobre su origen». Wired. com (en inglés estadounidense). Consultado el 3 de julio de 2017.

[3] Erdbrink, Thomas (23 de abril de 2012). «Frente a un ciberataque, las autoridades iraníes desconectan algunas terminales petrolíferas de Internet». The New York Times. Archivado desde html el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012.

[«ars-shamoon»-4] «El malware limpiador Shamoon regresa con una venganza». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.

[5] <Perlroth, Nicole (24 de agosto de 2012). blogs.nytimes.com/2012/08/24/among-digital-crumbs-from-saudi-aramco-cyberattack-image-of-burning-u-s-flag/ «Entre las migajas digitales del ciberataque a Saudi Aramco, imagen de la bandera de Estados Unidos ardiendo». Bits. The New York Times. Consultado el 3 de julio de 2017.

[6] /security/2014/12/inside-the-wiper-malware-that-brought-sony-pictures-to-its-knees/ «Dentro del malware «wiper» que puso de rodillas a Sony Pictures [Actualización]». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.

[7] Palilery, Jose (24 de diciembre de 2014). «Qué causó el hackeo de Sony: Lo que sabemos ahora». CNNMoney. Parámetro desconocido |fecha de acceso= ignorado (se sugiere |fechaacceso=) (ayuda)

[8] Zetter, Kim. «Los hackers de Sony estaban causando el caos años antes de golpear a la compañía». Wired. Consultado el 3 de julio de 2017.

[«ars-wiper»-9] /security/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/ «El brote masivo de ransomware del martes fue, de hecho, algo mucho peor». Ars Technica (en inglés estadounidense). 28 de junio de 2017. Consultado el 28 de junio de 2017.

[BBCPMdc-10] .com/news/technology-40442578 «El ciberataque se trataba de datos y no de dinero, dicen los expertos». BBC News. 29 de junio de 2017. Consultado el 29 de junio de 2017.

[11] «Sicherheitsforscher finden neue Zerstörungs-Malware auf ukrainischen Computersystemen». standard.at. Consultado el 15 de marzo de 2022.

[12] Gutierrez, Christopher N.; Spafford, Eugene H.; Bagchi, Saurabh; Yurek, Thomas (1 de mayo de 2018). «Redundancia reactiva para la protección contra la destrucción de datos (R2D2)». Computers & Security 74: 184-201. ISSN 0167-4048. doi:10.1016/j.cose.2017.12.012.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]