El malware Wiper sigue avanzando, aumentando un 53% en 3 meses

Sep 20, 2023

El creciente uso de limpiadores de disco en ataques cibernéticos que comenzaron con la invasión rusa de Ucrania a principios del año pasado no ha disminuido, y el malware se ha transformado en una potente amenaza para las organizaciones de la región y de otros lugares.

Los investigadores de Fortinet analizaron recientemente los datos de ataques de la segunda mitad de 2022 y observaron un sorprendente aumento del 53% en el uso de limpiaparabrisas de disco por parte de los actores de amenazas entre el tercer y cuarto trimestre del año. La trayectoria sugiere que no habrá desaceleración en el corto plazo, afirmó el proveedor de seguridad.

Los grupos de amenaza persistente avanzada (APT, por sus siglas en inglés) con sede en Rusia, que trabajan en apoyo de los objetivos militares del país en Ucrania, representaron gran parte del aumento inicial en el uso de limpiaparabrisas y de la actividad continua el año pasado. Sin embargo, los datos de Fortinet muestran que otros, incluidos ciberdelincuentes con motivación financiera, grupos hacktivistas y otras personas, también impulsaron el aumento, especialmente hacia finales de 2022.

Hasta el año pasado, la actividad de limpieza tendía a ser casi inexistente, según Geri Revay, investigadora de seguridad de FortiGuard Labs de Fortinet. Pero desde que comenzó el conflicto entre Rusia y Ucrania, el uso del malware por parte de los actores de amenazas se ha disparado, afirma.

"Solo en 2022 vimos 16 familias diferentes dirigidas a 25 países de todo el mundo", dice Revay. "En la segunda mitad del año, también comenzamos a ver una nueva generación de limpiadores, algunos incluso de código abierto y en GitHub, lo que los hace mucho más disponibles para campañas avanzadas y persistentes de cibercrimen", afirma.

El informe de Fortinet destaca varias familias de limpiadores que percibe como una amenaza importante para las organizaciones según el uso de los actores de amenazas durante el año pasado. Entre los más importantes se encuentra HermeticWiper, un limpiador que borra y sobrescribe el registro de arranque maestro de un sistema comprometido. El limpiador apareció por primera vez en ataques contra organizaciones ucranianas en 2021. Fortinet dijo que observó un aumento significativo en la actividad el año pasado relacionado con HermeticWiper en noviembre, que se volvió aún más pronunciado en diciembre.

Otros limpiadores que el proveedor de seguridad observó que los actores de amenazas utilizaron ampliamente en los ataques el año pasado incluyen WhisperGate, una cepa de malware que parece ransomware en la superficie pero que no tiene mecanismo de recuperación de datos; NoPetya; Doble cero; e Isaac Wiper. Los analistas han identificado previamente que el grupo de inteligencia militar de Rusia probablemente esté detrás de WhisperGate. Curiosamente, Shamoon, un limpiador que se utilizó en un ataque que bloqueó miles de PC en Saudi Aramco hace más de una década, también siguió siendo popular entre los actores el año pasado. Los datos de Fortinet mostraron que Shamoon fue uno de los limpiadores más utilizados en ataques destructivos el año pasado.

Actualmente, la principal motivación para el uso de malware limpiador parece centrarse en la ciberguerra y el hacktivismo, afirma Revay. Pero eso no significa que los actores de amenazas no lo usen de otras maneras, como usar limpiadores para sabotear sistemas o destruir evidencia de un delito cibernético.

"El sabotaje es la razón más obvia para desplegar un limpiador", señala Revay. "Así como Stuxnet se usó para destruir centrífugas y frenar los esfuerzos de Irán por desarrollar armas nucleares, el malware limpiador podría usarse para destruir datos, sabotear el desarrollo, causar pérdidas financieras o simplemente causar caos". Y el uso de limpiadores para destruir evidencia, si bien es ruidoso, también hace el trabajo para los atacantes y es mucho más sencillo que eliminar todos los archivos de registro y el malware, afirma.

El informe de Fortinet se encuentra entre varios que han destacado un fuerte aumento tanto en el uso como en la variedad de limpiadores de disco durante el año pasado. Si bien la investigación de Fortinet mostró que los actores de amenazas utilizaron 16 familias de limpiadores en los ataques el año pasado, otro informe de Max Kersten, analista de malware de Trellix, identificó más de 20 familias de limpiadores que los actores de amenazas utilizaron en ataques destructivos el año pasado.

Las organizaciones ucranianas siguen siendo objetivos principales, como lo demostró un ataque reciente contra la principal agencia de noticias del país que implicó el uso de cinco variantes distintas de limpiaparabrisas. Pero las organizaciones de otros países también corren un riesgo cada vez mayor de sufrir ataques. Fortinet, por ejemplo, descubrió que WhisperGate y HermeticWiper eran más frecuentes fuera de Europa. Más organizaciones en África y Asia sufrieron ataques que involucraron a las dos familias de limpiaparabrisas que organizaciones en Europa. Y América del Norte, en general, continúa experimentando la menor actividad de limpieza, dijo el proveedor de seguridad.

"La mayoría de los ataques de limpieza tuvieron como objetivo organizaciones ucranianas en 2022, pero eso fácilmente podría tener un efecto indirecto en otros países", dice Revay. Como ejemplo, señala un incidente en el que un ataque dirigido a un proveedor ucraniano de comunicaciones por satélite acabó desconectando 5.800 turbinas eólicas alemanas.

En términos de cómo prepararse y cómo responder a un ataque de limpieza, "es muy similar a un incidente de ransomware", le dice Revay a Dark Reading. "Si no se paga el rescate, que es el enfoque recomendado, un ransomware también puede considerarse un limpiador, porque sin la clave de descifrado los datos cifrados están prácticamente perdidos".