La empresa de ciberseguridad Kaspersky Labs ha encontrado ciberataques “precisos” en Rusia y ha proporcionado archivos infectados con un nuevo sufijo llamado .cry (de ahí el nombre CryWiper).
No está claro cuántas instituciones han sido perpetradas sin embargo los medios locales han informado que algunas de esas instituciones incluyen tribunales y alcaldías de todo el país.
Según algunos informes este peligroso programa tiene rasgos en común con otros dos tipos de malware que se conocen en conjunto como Trojan-Ransom.
La dirección de correo electrónico de uno de ellos está incluida en la nota de rescate enviada a todos ellos. La familia de ransomware de Windows conocida como Xorist se descubrió por primera vez en 2010. Sus víctimas se encuentran principalmente en los Estados Unidos y Rusia.
Los gobiernos locales de Rusia y el sistema judicial del país acaban de convertirse en los últimos objetivos de una cepa de malware tan sofisticada.
CryWiper es un software malicioso que se hace pasar por ransomware para engañar a los usuarios para que paguen una suma de dinero muy pequeña (alrededor de 0,5 bitcoins, o alrededor de 9000 dólares en el momento de esta publicación).
Sin embargo los expertos han indicado que su propósito es borrar todos los datos en el punto final infectado independientemente de si se paga o no el rescate. Este es el caso incluso si se paga el rescate.
El hecho de que CryWiper estuviera codificado en C++, un lenguaje de programación extremadamente poco común muestra que los actores de amenazas detrás de él utilizaron un sistema operativo de computadora que no era Windows para desarrollar el software malicioso.
Este malware se ha comparado con el software de limpieza conocido como IsaacWiper que recientemente se ha dirigido a empresas en Ucrania. La comparación se hizo en la misma fuente. Ambos programas de limpieza parecen hacer uso de la misma metodología para generar los números aparentemente aleatorios que luego se aplican a los archivos para sobrescribirlos y volverlos inútiles.
Otra característica peculiar de las estrategias de los atacantes es que emplean un Mersenne Vortex PRNG para generar números aleatorios. En el transcurso de los últimos diez años el virus limpiaparabrizas (wiper) se ha extendido más.
Tanto la empresa petrolera saudita Saudi Aramco como la compañía de gas qatarí RasGas sufrieron daños importantes como resultado del limpiaparabrisas (wiper) ocurrido en 2012 y conocido como Shamoon. Cuatro años después del primer brote del malware Shamoon, muchas empresas en Arabia Saudita se vieron afectadas por una nueva cepa.
En 2017 un tipo de malware autorreplicante llamado NotPetya causó daños estimados en $ 10 mil millones en todo el mundo en solo unas pocas horas.
En el transcurso del año anterior, se desarrollaron varias formas nuevas de malware de limpieza. Varias instancias de malware que entran en esta categoría son DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 y RuRansom.
Los malware wiper se encuentran entre las formas de malware más maliciosas ya que su propósito es borrar toda la información del dispositivo que ha sido infectado. Wi-Fi y otras debilidades de la red a menudo se explotan en ataques de wiper exitosos.
Los usuarios tienen la capacidad de defenderse de ataques de este tipo asegurándose de que siempre están utilizando la versión más reciente de su sistema operativo, navegador web y cualquier otro software que tengan instalado.
Siempre es una buena idea asegurarse de que sus defensas contra los ataques cibernéticos estén actualizadas y sean de vanguardia.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
