Los ataques de ransomware son una de las amenazas cibernéticas más comunes actualmente y los hackers intentan actualizar cada vez más sus métodos de ataque para obtener las mayores ganancias. Especialistas en auditorías de sistemas han reportado la aparición de una nueva variante de malware que actúa como ransomware, no obstante, en vez de cifrar los archivos de las víctimas, los atacantes sobrescriben toda la información, por lo que ni siquiera se puede decir que tienen la intención de restablecer la información de las personas.
Los primeros informes, surgidos hace algunos días, describían la detección de una campaña de ransomware atacando a usuarios en territorios de habla alemana; las víctimas de estos ataques afirmaban que el software malicioso borraba por completo los datos del sistema comprometido. No obstante, los casos de infección no tardaron en aparecer en otras zonas de Europa.
El malware, bautizado como GermanWiper por los especialistas en auditorías de sistemas, es considerado técnicamente un ransomware, aunque el malware no cifra la información de la víctima, sino que sobrescribe toda la información con caracteres sin sentido, volviendo inútil cualquier registro almacenado por la víctima.
Esta clase de malware, conocido como “limpiador” (wiper), es empleado por actores de amenazas con fines disruptivos que generan serias pérdidas económicas para las organizaciones atacadas. No obstante, los operadores de esta campaña no dudan en exigir rescates a las víctimas, aún a pesar de que su información ya ha sido eliminada cuando encuentran la nota de rescate.
Según los expertos en auditorías de sistemas, GermanWiper se distribuye usando una campaña masiva de spam. Los atacantes envían correos electrónicos, supuestamente enviados por buscadores de empleo a distintas áreas de las organizaciones objetivo. En el correo electrónico se encuentra un archivo adjunto que contiene el malware; después de ejecutar los archivos que contiene el elemento adjunto comienza la infección.
Del archivo adjunto salen dos archivos en formato PDF que en realidad son enlaces para ejecutar un comando de PowerShell e instalar el malware en el sistema objetivo. Cuando el código malicioso llega al equipo de la víctima, se ejecuta de forma local automáticamente y elimina la información del usuario.
Cuando el malware finaliza este proceso, aparece en la pantalla de la víctima la nota de rescate, que informa sobre el supuesto cifrado de archivos y exige un pago de alrededor de 0.16 Bitcoin que deberán ser transferidos a una dirección especificada en el mensaje. Debido a que el malware elimina la información del usuario en lugar de cifrarla, es importante que las víctimas de GermanWiper no cedan a las exigencias de los atacantes, pues no hay forma en que puedan recuperar su información.
Especialistas en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) afirman que, aunque muy limitada, se ha detectado actividad de este malware fuera de Alemania y otros países en Europa. Algunos de los países que han reportado infecciones de GermanWiper son Irlanda, Hungría, España, Inglaterra e incluso algunos países asiáticos, como Taiwán y China.
Como medidas de protección ante potenciales infecciones de GermanWiper, se recomienda a los usuarios crear copias de seguridad de sus archivos más importantes, al mismo tiempo, es importante recordar que, de ser posible, estas copias de seguridad sean almacenadas en alguna ubicación física sin conexión a Internet; capacitar a sus empleados en la detección y mitigación de ataques de spam y phishing también es recomendable, no obstante, el respaldo es la mejor forma de prevenir las pérdidas de información por malware limpiador.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
