Nuestros expertos descubrieron el ataque de un nuevo troyano, al que denominaron CryWiper. A simple vista, este malware, que parece un ransomware, modifica los archivos, les añade una extensión adicional y guarda un archivo llamado README.txt con una nota de rescate, que contiene la dirección de un wallet de bitcoin, la dirección de correo electrónico de contacto de los creadores del malware y el ID de la infección. No obstante, la verdad es que este malware es un wiper (borrador), y, de hecho, un archivo modificado por CryWiper no puede ser restaurado a su estado original, nunca. Entonces, si ves una nota de rescate y tus archivos tienen la nueva extensión .CRY, no corras a pagar el rescate: es inútil.
En otras ocasiones ya hemos visto cepas de malware que terminaron por convertirse en borradores por accidente, debido a errores de sus creadores al implementar mal los algoritmos de cifrado. Sin embargo, no es ese el caso: nuestros expertos aseguran que el objetivo principal de los atacantes no es ganar dinero, sino la destrucción de datos. Los archivos no quedan realmente cifrados; en su lugar, el troyano los sobrescribe con datos generados de forma pseudoaleatoria.
Qué busca CryWiper
El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No perjudica a archivos con extensiones .exe, .dll. .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\Windows. El malware se enfoca en bases de datos, archivos y documentos de usuario.
Nuestros expertos solo han visto ataques puntuales contra objetivos de la Federación Rusa, hasta ahora. No obstante, como es costumbre, nadie puede garantizar que este código no será utilizado contra otros objetivos.
Cómo funciona el troyano CryWiper
Además de sobrescribir directamente el contenido de los archivos con basura, CryWiper también:
- crea una tarea que reinicia el wiper cada cinco minutos usando el Programador de tareas;
- envía al servidor de mando y control el nombre de la computadora infectada y espera un comando para iniciar un ataque;
- detiene los procesos relacionados con: servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquearía el acceso a algunos archivos y sería imposible corromperlos);
- elimina las instantáneas (shadow copies en inglés) de los archivos para que no se puedan restaurar (pero solo en la unidad C:, por alguna razón);
- desactiva la conexión al sistema afectado mediante el protocolo de acceso remoto RDP.
No está claro del todo el propósito del último punto. Tal vez con esta desactivación, los autores del malware intentan complicar el trabajo del equipo de respuesta a incidentes, que claramente preferiría tener acceso remoto al equipo afectado; en su lugar, tendrían que obtener acceso físico. Para más información técnica sobre el ataque junto con sus indicadores de compromiso, visita nuestra publicación en Securelist (solo en ruso).
Cómo protegerse
Para mantener los equipos de tu empresa a salvo, tanto del ransomware como de los wiper, nuestros expertos recomiendan que:
- controles de forma minuciosa las conexiones de acceso remoto a tu infraestructura: prohíbe las conexiones desde redes públicas, permite el acceso RDP solo mediante un canal VPN y usa contraseñas seguras y únicas y la autenticación en dos pasos;
- actualices el software crítico de manera oportuna, poniendo énfasis en el sistema operativo, las soluciones de seguridad, los clientes de VPN y las herramientas de acceso remoto;
- formes a tus empleados en materia de seguridad, por ejemplo, usando herramientas online especializadas;
- emplees soluciones de seguridad avanzadas para proteger los dispositivos de trabajo y el perímetro de la red corporativa.