Expertos de Kaspersky han descubierto el ataque de un nuevo troyano, al que han denominado CryWiper. A primera vista, este malware parece un ransomware: modifica archivos, les agrega una extensión .CRY (exclusiva de CryWiper) y guarda un archivo README.txt con una nota de rescate, que contiene la dirección de la billetera bitcoin, la e -dirección de correo electrónico de los creadores del malware y el ID de la infección. Sin embargo, de hecho, este malware es un limpiador : un archivo modificado por CryWiper no se puede restaurar a su estado original, nunca. Entonces, si ve una nota de rescate y sus archivos tienen una nueva extensión .CRY, no se apresure a pagar el rescate: no tiene sentido.
En el pasado, hemos visto algunas cepas de malware que se convirtieron en borradores por accidente, debido a errores de sus creadores que implementaron mal los algoritmos de encriptación. Sin embargo, esta vez no es el caso: nuestros expertos confían en que el objetivo principal de los atacantes no es la ganancia económica, sino la destrucción de datos. Los archivos no están realmente encriptados; en cambio, el troyano los sobrescribe con datos generados de forma pseudoaleatoria.
Qué busca CryWiper
El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No afecta a los archivos con extensiones .exe, .dll, .lnk, .sys o .msi, e ignora varias carpetas del sistema en el directorio C:\Windows. El malware se centra en bases de datos, archivos y documentos de usuario.
Hasta ahora, nuestros expertos solo han visto ataques puntuales contra objetivos en la Federación Rusa. Sin embargo, como de costumbre, nadie puede garantizar que el mismo código no se utilizará contra otros objetivos.
Cómo funciona el troyano CryWiper
Además de sobrescribir directamente el contenido de los archivos con basura, CryWiper también hace lo siguiente:
- crea una tarea que reinicia el limpiador cada cinco minutos usando el Programador de tareas;
- envía el nombre de la computadora infectada al servidor C&C y espera un comando para iniciar un ataque;
- detiene los procesos relacionados con: servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquearía el acceso a algunos archivos y sería imposible corromperlos);
- elimina instantáneas de archivos para que no se puedan restaurar (pero por alguna razón solo en la unidad C:);
- deshabilita la conexión al sistema afectado a través del protocolo de acceso remoto RDP.
El propósito de este último no está del todo claro. Tal vez con tal desactivación, los autores del malware intentaron complicar el trabajo del equipo de respuesta a incidentes, que claramente preferiría tener acceso remoto a la máquina afectada; en su lugar, tendrían que obtener acceso físico a ella. Puede encontrar detalles técnicos del ataque junto con indicadores de compromiso en una publicación en Securelist (solo en ruso).
Cómo mantenerse a salvo
Para proteger las computadoras de su empresa tanto del ransomware como de los limpiadores, nuestros expertos recomiendan las siguientes medidas:
- controle cuidadosamente las conexiones de acceso remoto a su infraestructura: prohíba las conexiones desde redes públicas, permita el acceso RDP solo a través de un túnel VPN y use contraseñas seguras únicas y autenticación de dos factores;
- actualizar el software crítico de manera oportuna, prestando especial atención al sistema operativo, las soluciones de seguridad, los clientes VPN y las herramientas de acceso remoto;
- aumentar la conciencia de seguridad de sus empleados, por ejemplo, utilizando herramientas en línea especializadas ;
- emplee soluciones de seguridad avanzadas para proteger tanto los dispositivos de trabajo como el perímetro de la red corporativa.
Fuente y redacción: kaspersky.com
