Nuestros expertos han descubierto el ataque de un nuevo troyano, al que han denominado CryWiper. A simple vista, este malware, que parece un ransomware, modifica los archivos, les añade una extensión adicional y guarda un archivo llamado README.txt con una nota de rescate, que contiene la dirección del monedero de bitcoin, la dirección de correo electrónico de contacto de los creadores del malware y el ID de la infección. Sin embargo, lo cierto es que este malware es un wiper (borrador), de hecho, un archivo modificado por CryWiper no se puede restaurar a su estado original, nunca. Entonces, si ves una nota de rescate y tus archivos tienen la nueva extensión .CRY, no te apresures a pagar el rescate: es inútil.
Ya hemos visto en otras ocasiones cepas de malware que acabaron convirtiéndose en borradores por accidente, debido a errores de sus creadores que implementaron mal los algoritmos de cifrado. Sin embargo, esta vez no es el caso: nuestros expertos están seguros de que el objetivo principal de los atacantes no es la ganancia económica, sino la destrucción de datos. Los archivos no quedan realmente cifrados; en su lugar, el troyano los sobrescribe con datos generados de forma pseudoaleatoria.
Qué busca CryWiper
El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No perjudica a archivos con extensiones .exe, .dll. .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\Windows. El malware se centra en bases de datos, archivos y documentos de usuario.
Hasta ahora, nuestros expertos solo han visto ataques puntuales contra objetivos de la Federación Rusa. Sin embargo, como de costumbre, nadie puede garantizar que este mismo código no se utilice contra otros objetivos.
Cómo funciona el troyano CryWiper
Además de sobrescribir directamente el contenido de los archivos con basura, CryWiper también:
- crea una tarea que reinicia el wiper cada cinco minutos usando el Programador de tareas;
- envía el nombre del ordenador infectado al servidor de mando y control y espera un comando para iniciar un ataque;
- detiene los procesos relacionados con: servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquearía el acceso a algunos archivos y sería imposible corromperlos);
- elimina las instantáneas (shadow copies en inglés) de los archivos para que no se puedan restaurar (pero por alguna razón solo en la unidad C:);
- desactiva la conexión al sistema afectado a través del protocolo de acceso remoto RDP.
El propósito de este último punto no está del todo claro. Tal vez con esta desactivación, los autores del malware intentan complicar el trabajo del equipo de respuesta a incidentes, que claramente preferiría tener acceso remoto al equipo afectado; en su lugar, tendrían que obtener acceso físico. Para más información técnica sobre el ataque junto con sus indicadores de compromiso, visita nuestra publicación en Securelist (solo en ruso).
Cómo mantenerse a salvo
Para proteger los equipos de tu empresa tanto del ransomware como de los wiper, nuestros expertos recomiendan que:
- controles minuciosamente las conexiones de acceso remoto a tu infraestructura: prohíbe las conexiones desde redes públicas, permite el acceso RDP solo a través de un canal VPN y usa contraseñas seguras y únicas y la autenticación en dos pasos;
- actualices el software crítico de manera oportuna, prestando especial atención al sistema operativo, las soluciones de seguridad, los clientes de VPN y las herramientas de acceso remoto;
- formes a tus empleados en materia de seguridad, por ejemplo, utilizando herramientas online especializadas;
- emplees soluciones de seguridad avanzadas para proteger tanto los dispositivos de trabajo como el perímetro de la red corporativa.