Informes sobre APT

Programas maliciosos destructivos. Cinco wipers en la mira

Cada día Kaspersky Lab procesa más de 300.000 nuevos programas maliciosos, de los cuales la gran mayoría son lo que conocemos como crimeware, es decir, programas diseñados con fines lucrativos y que utilizan los ciberdelincuentes para cometer sus fechorías. Del resto, un reducido número está diseñado exclusivamente para el ciberespionaje y lo utiliza una variedad de ciberatacantes avanzados.

Lo que queda es un porcentaje muy pequeño que incluye casos muy raros. Los Wipers son programas altamente destructivos que constituyen una rareza dentro del ámbito de los programas maliciosos, pero cuyo uso ha aumentado en los últimos años.

En los viejos tiempos, la mayoría de los programas maliciosos estaban diseñados por entusiastas de la computación, ciberpandilleros o bromistas pesados. De ahí que los virus destructivos, o troyanos, fuesen mucho más comunes. Por citar algunos ejemplos, tenemos a BadSectors, un virus informático que marcaba sectores de disco como malos, aunque no lo fueran, lo que resultaba en una sutil corrupción de los datos almacenados; también está OneHalf, otro virus informático que codificaba el disco duro cilindro por cilindro, y lo descifraba transparentemente al paso mientras estaba activo. Si el usuario intentaba eliminarlo, los datos en el disco quedaban codificados sin existir una solución fácil para decodificarlos.

Quizás el caso más conocido es el de CIH, más conocido como Chernobyl. CIH, llamado así por las iniciales de su autor, Chen Ing-hau, era un virus informático que poseía la habilidad de limpiar la memoria flash BIOS. Los ordenadores infectados con CIH no podían reiniciarse. Este no era un gran problema para los PCs, ya que tenían la memoria BIOS en forma de un chip extraíble que podía reprogramarse en otro sistema; sin embargo, para los dueños de ordenadores portátiles, el virus CIH era desastroso.

En los últimos años hemos visto una cantidad de importantes incidentes relacionados con programas maliciosos destructivos. Hemos decidido compilar un breve resumen de los incidente más importantes vinculados con Wiper.

1. El “limpiador”

Entre fines de 2011 y principios de 2012, se publicaron informes sobre sistemas informáticos infectados que no podían reiniciarse. El alcance del daño a estos sistemas era tan extremo que era casi imposible recuperar ningún dato. Algunos artefactos de los sistemas “limpiados” indicaban una posible vinculación con Stuxnet y Duqu; sin embargo, nunca se llegó a comprobar esta teoría. Al programa malicioso responsable de estos ataques se le puso el nombre de “Wiper” (limpiador), sobre el cual escribimos este artículo: ”¿Qué era ese Wiper?”.

El Wiper parecía usar dos métodos para atacar los sistemas. Los archivos con algunas extensiones “calientes” se llenaban con basura, hasta que todo el disco duro del ordenador acabase lleno de basura. Si bien no se sabe cómo era esto posible sin colapsar los sistemas operativos, algunas soluciones que pudieron haberse usado incluían unidades de dispositivos que se cargaban al iniciarse el sistema, o sencillamente un bootkit malicioso.

Nuestra investigación sobre Wiper nos llevó a descubrir Flame, que ahora tenemos la certeza de que era un programa malicioso que nada tenía que ver con Wiper. Hasta donde sabemos, Wiper sigue siendo un misterio.

2. Shamoon el limpiador

En agosto de 2012, una enorme cantidad de ordenadores (quizás más de 30.000) de Saudi ARAMCO se limpiaron y quedaron incapaces de reiniciarse. Al respecto escribimos este artículo: Shamoon el limpiador. Imitadores trabajando.
En este caso, se identificó y recuperó el programa responsable de los ataques. Shamoon utilizaba un sencillo y crudo método de limpieza que resultó ser bastante eficaz. Aunque unos hackers de un grupo llamado “Cutting Sword of Justice” se atribuyeron la autoría del ataque de Shamoon, hay cosas que no encajan.

Tras el ataque contra Saudi ARAMCO, se produjo otro similar contra la compañía Rasgas en Qatar.
Algunas publicaciones de prensa indicaban que a pesar de los créditos, quizás los hackers detrás de este ataque eran iraníes. Un artefacto olvidado en el programa malicioso “Shamoon for Arabian Gulf” (Shamoon para el Golfo Arábigo) parece indicar lo contrario, ya que los programadores iraníes muy probablemente lo habrían llamado “Shamoon for Persian Gulf” (Shamoon para el Golfo Pérsico).

3. Narilam

Narilam fue inicialmente descubierto por Symantec en noviembre de 2012. Escribimos este artículo sobre Narilam: Narilam: un “nuevo” malware destructivo que se está usando en el Medio Oriente.

Narilam es un programa malicioso interesante que afecta a las bases de datos de algunos programas informáticos muy específicos, la mayor parte de los cuales se usan en Irán. Los daños que causa son sutiles y pueden ser difíciles de notar. Si Narilam llega a ejecutarse por años en un sistema informático, sus efectos pueden ser devastadores, ya que las modificaciones que causa son difíciles de identificar. Al contrario de Wiper, Narilam es un programa malicioso que actúa lentamente y está diseñado para un sabotaje a largo plazo. Hemos identificado varias versiones distintas de Narilam, algunas de las cuales se han mantenido activas desde 2008.

4. Groovemonitor / Maya

En el artículo GrooveMonitor: ¿Otra imitación de Wiper? describimos los ataques de Groovemonitor/Maya.

Fue la organización iraní Maher CERT la que descubrió este programa malicioso en 2012. Relativamente sencillo, este programa malicioso era un poco crudo en sus acciones. Groovemonitor se activa en ciertas fechas que se encuentran codificadas (hard coded) en su cuerpo, desde el 10 de diciembre de 2012 hasta el 4 de febrero de 2015. En tales fechas, procede a eliminar todos los archivos en los discos “d:” a “i:”.

5. Dark Seoul

En este artículo describimos los ataques de Dark Seoul: Ataques del ‘Whois Team” surcoreano.
Dark Seoul, Seúl Oscuro, como su nombre sugiere, se usó en un ataque coordinado contra varios bancos y medios de prensa en Seúl, Corea del Sur. Los ataques se detectaron en mayo de este año, aunque el grupo responsable de los ataques parece haber estado activo por mucho más tiempo, quizás desde 2009.

Conclusiones

Por lo que vemos en esta lista, la mayoría de los ataques “limpiadores” en los últimos años se han dado en Oriente Medio. Sin embargo, también hemos podido observar a partir de estos incidentes, que este tipo de programas maliciosos puede ser muy efectivo como una ciberarma. El poder de limpiar decenas de miles de ordenadores con sólo apretar un botón o pulsar el ratón representa un activo muy poderoso para cualquier ciberejército. Incluso puede ser un golpe muy devastador si se combina con un ataque cinético del mundo real con el fin de paralizar la infraestructura de un país.

En resumen, los ataques “limpiadores” son muy raros hoy en día, ya que el objetivo principal de los programas maliciosos es el lucro. El peligro surge al combinar los ataques “limpiadores” con el hecho de que cada día se descubren más y más debilidades críticas en las infraestructuras.
Estimamos que los ataques “limpiadores” continuarán y pueden ganar mucha popularidad en un futuro no lejano, como medio de atacar infraestructuras críticas en momentos precisos con el objetivo de causar extensos daños.

Programas maliciosos destructivos. Cinco wipers en la mira

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada