Shamoon, Black Energy, Destover, ExPetr/Not Petya y Olympic Destroyer: todos estos malwares de limpiaparabrisas, y otros como ellos, tienen un propósito singular de destruir sistemas y/o datos, generalmente causando un gran daño financiero y de reputación a las compañías víctimas.
Sin embargo, los actores de amenazas detrás de este tipo de código, ya sea que estén decididos a enviar un mensaje político o simplemente que quieran cubrir sus huellas después de la extracción de datos, han adoptado varias técnicas para llevar a cabo esas actividades.
El malware con cargas destructivas ha existido desde los primeros días del desarrollo del virus.
Sin embargo, los métodos de entrega y el nivel de destrucción del malware wiper han evolucionado. El daño puede variar desde la sobrescritura de archivos específicos hasta la destrucción de todo el sistema de archivos. Y la cantidad de datos afectados y la dificultad del proceso de recuperación es una consecuencia directa de la técnica utilizada.
En cualquier caso, generalmente es un código bien diseñado en su raíz.
Indice
Anatomía del malware wiper
Para comprender las diversas técnicas que utilizan los atacantes, es posible desglosar un limpiador típico de acuerdo con tres objetivos: archivos (datos), la sección de arranque del sistema operativo de las máquinas y copias de seguridad del sistema y los datos. La mayoría de los limpiaparabrisas se dirigen a los tres.
La actividad que lleva más tiempo realizar es la destrucción real del archivo. Para ser más eficientes, los limpiadores raramente sobrescriben todo el disco duro.
Hay limpiadores que crearán una lista de archivos específicos, y otros enumerarán todos los archivos en carpetas específicas. Algunos de ellos solo reescribirán una cierta cantidad de bytes al comienzo de cada archivo y sobrescribirán el archivo por completo si los archivos son más pequeños que esa cantidad. Esto es suficiente para destruir los encabezados de los archivos, lo que los hace inútiles.
Otros limpiadores pueden escribir una cierta cantidad de bytes en un patrón. Por ejemplo, el malware podría escribir 100 kilobytes de datos cada cinco megabytes de forma secuencial a través del disco duro.
Esto significa que el limpiador destruirá archivos al azar sin ningún patrón predecible.
Este último paso hace que las herramientas de recuperación avanzadas sean prácticamente imposibles de usar, debido a la falta de información para recuperar los archivos.
Mientras tanto, el proceso de arranque y la destrucción de la copia de seguridad es un proceso bastante rápido. La sección de arranque se puede hacer de dos maneras, según el propósito:
- puede borrar los primeros 10 sectores de los discos físicos (ubicación del registro de arranque maestro), o
- puede reescribir estos primeros 10 sectores con un nuevo cargador de arranque que realizará daños adicionales.
De cualquier manera, el sistema operativo original no se puede iniciar. Por lo general, junto con la destrucción del registro de arranque maestro, los limpiadores también utilizarán utilidades de línea de comandos del sistema operativo para destruir la consola de recuperación.
La destrucción de la copia de seguridad se realiza comúnmente simplemente eliminando las instantáneas de los datos.
Técnicas utilizadas
Cuando se trata de evadir la detección (hasta que sea demasiado tarde), un limpiador puede usar varias técnicas diferentes.
Por ejemplo, un cargador de arranque personalizado podría realizar la destrucción al reiniciar, evitando así las protecciones del sistema operativo.
Sin embargo, en los ataques de Shamoon, los autores utilizaron una versión de prueba de un controlador legítimo para obtener acceso al sistema de archivos, omitiendo por completo la API del sistema operativo, junto con cualquier protección impuesta por el sistema operativo. Eso también permite la destrucción de archivos mientras el sistema aún se está ejecutando.
Estas técnicas requieren el nivel de privilegio adecuado y el sistema operativo. Es por eso que algunos limpiadores retrocederán de una técnica a otra dependiendo de las condiciones del sistema de la víctima.
Otra táctica, como se ve con Olympic Destroyer , es deshabilitar todos los servicios en el sistema operativo.
Esta táctica no destruye los datos por sí sola, pero consigue que sea prácticamente imposible la recuperación del sistema sin su reinstalación, lo que origina una indisponibilidad del servicio.
En el caso de NotPetya , probablemente el más devastador ciberataque hasta ahora conocido, los atacantes comprometieron a un proveedor de la cadena de suministro, MEDoc, usando el software como una forma de ejecutar su propio código en los sistemas de sus víctimas. También ajustó sus mecanismos de destrucción al software antivirus presente en el sistema.
Los atacantes tuvieron acceso a los sistemas de sus víctimas durante varios meses, y su última acción fue la liberación de una carga útil altamente destructiva con mecanismos de difusión muy efectivos.
Propagación
El malware a menudo se diseñará para replicarse en otros sistemas, y esto es válido para los limpiadores.
Olympic Destroyer siguió el camino del gusano, realizando autorreplicaciones y movimientos laterales dentro de las redes.
El malware cosechará credenciales del sistema, que luego se utilizan para realizar copias remotas y la ejecución del limpiador, saltando de un sistema a otro. Obtener la ejecución remota generalmente implica el uso de mecanismos de administración legítimos como la herramienta psexec y la utilidad de línea de comandos de Instrumental de administración de Windows (WMIC).
Del mismo modo, el mecanismo de propagación de NotPetya fue diseñado para recolectar contraseñas y aprovechar los protocolos legítimos de Windows.
Mediante el uso de herramientas y credenciales legítimas, fue capaz de imitar comportamientos y patrones de tráfico como de costumbre, haciendo que la detección sea más difícil para los defensores.
Algunos de los gusanos también llevan el código para explotar vulnerabilidades que permiten la ejecución remota de código, cuando fallan todos los demás medios de propagación. Black Energy , por ejemplo, era sospechoso de explotar una vulnerabilidad parcheada en el software Siemens SIMATIC WinCC.
Sabotaje y Terrorismo
A diferencia del malware que contiene datos para el rescate, cuando un actor malicioso decide usar un limpiador, a menudo no hay una motivación financiera directa. Para las empresas puede ser catastrófico, dado que no hay expectativas de recuperación de datos.
El objetivo de los actores es similar al de un ataque terrorista: sabotear y sembrar el miedo, la incertidumbre y la duda.
En el pasado, los ciberdelincuentes han usado los ataques de malware wiper con un doble objetivo:
- generar desestabilización social mientras se envía un mensaje público,
- destruir todos los rastros de sus actividades.
Si bien el malware wipe puede ser mortal, hay empresas que pueden tomar medidas para defenderse. La forma de frustrar estos ataques a menudo recurre a lo básico.
También se usa después de la actividad de ciberespionaje patrocinada por el estado nacional, para hacer que la atribución y la evaluación de daños sean difíciles o imposibles. En el caso de Destover, el horizonte de eventos se produciría después de que los actores, posiblemente afiliados al Grupo Lazarus vinculado a Corea del Norte, seleccionaran las redes de Sony Pictures sin información.
Las empresas pueden aumentar su resistencia a este tipo de ataques implementando determinadas protecciones:
- un plan de respuesta a incidentes de seguridad cibernética probado,
- un programa de administración de parches basado en riesgos,
- un plan de continuidad comercial probado y consciente de la seguridad cibernética, y
- la segmentación de redes y usuarios en la cima de la pila de seguridad de software regular.
Vamos a analizar cada una de estas medidas de protección.
Cómo mitigar un ataque de malware wiper
Los investigadores admiten que mitigar un ataque de limpiaparabrisas requerirá más que la tecnología existente y sugieren que las organizaciones tomen los siguientes pasos.
1. Plan de respuesta a incidentes de seguridad cibernética (CSIRP)
La respuesta rápida se basa en saber qué hacer, y ahí es donde entran en juego los CSIRP. El CSIRP debe tener una definición clara de roles y responsabilidades. No pueden limitarse al departamento de seguridad cibernética, o incluso al departamento de TI. Todos en la organización necesitan conocer su rol, y qué tipo de decisiones se esperan de ellos. Esto incluye los departamentos legales y de relaciones públicas.
2. Plan de continuidad del negocio consciente de la ciberseguridad
La mayoría de las empresas tienen planes de continuidad para situaciones difíciles, físicas y digitales. Es crucial incluir la recuperación de los ataques de limpiaparabrisas en la planificación de continuidad, en particular, la protección de la infraestructura de respaldo de la organización.
Para lograr eso, es necesario:
- Ejecutar software de respaldo en sistemas que no sean Windows;
- Segmentar la red de respaldo; y
- Usar diferentes nombres de usuario y contraseñas.
3. Programa de administración de parches basado en el riesgo
Es importante reducir la superficie de ataque de una empresa manteniendo todo el software actualizado.
Sin embargo, la aplicación de parches de software puede ser problemático, razón por la cual los departamentos de TI deben sopesar cuidadosamente el riesgo de ser vulnerables frente al riesgo de afectar a las empresas.
4. Segregación de redes y usuarios
Uno de los aspectos más importantes de la mitigación de daños es la segregación de redes, que no es simple ni fácil de lograr.
Las redes basadas en la intención pueden hacer que esta tarea sea mucho más fácil y rápida. Incluso si la segregación de red no se aplica durante las operaciones comerciales habituales, tener la capacidad de realizar una segregación de emergencia puede hacer que la diferencia entre un ataque que tiene un impacto severo en el negocio o simplemente una interrupción menor.
Los profesionales de seguridad no tienen esa opción con la segregación de usuarios.
Algunas ideas sobre cómo obtener la segregación de usuarios son:
- No todos los usuarios necesitan iniciar sesión en todos los sistemas informáticos
- Las credenciales privilegiadas no deben usarse en estaciones de trabajo o servidores normales
- Las credenciales privilegiadas deben segregarse y usarse solo en estaciones de trabajo confiables creadas específicamente para tareas administrativas.
5. Pila de tecnología de ciberseguridad
Las empresas no deben confiar su entorno digital a una sola tecnología de ciberseguridad. Los ataques de limpiaparabrisas están diseñados para detectar la tecnología antimalware prevalente. Las organizaciones necesitan capas de seguridad superpuestas para complicar y ofuscar sus defensas digitales.
Para aumentar la pila de tecnología de ciberseguridad de una organización, podemos usar lo siguiente:
- Tecnología EDR para reducir el tiempo de detección y el tiempo de recuperación de ataques de malware de limpiaparabrisas;
- Ejecución de espacio aislado, que permite a los miembros del equipo de seguridad analizar el comportamiento del software antes de permitirlo en la red de la empresa; y
- Herramientas a nivel de red, como los sistemas de detección de intrusos y los sistemas de prevención de intrusos, capaces de detectar y detener los intentos de penetración de los adversarios.
Además, debemos confiar en las herramientas de próxima generación capaces de encontrar patrones de malware en el tráfico encriptado. Las herramientas son increíblemente útiles en la detección y prevención de la filtración de datos y el ransomware.
Conclusión
La mayoría de los ataques de estilo Wiper durante los últimos años han sido en el Medio Oriente. Sin embargo, este tipo de malware puede ser un tipo de arma cibernética altamente efectiva.
La posibilidad de limpiar decenas de miles de ordenadores únicamente presionando un botón o haciendo clic con el ratón supone un poderoso activo para cualquier ciber-ejército. Esto puede ser un golpe aún más devastador cuando se combina con un ataque del mundo real para paralizar la infraestructura de un país.
Para resumir, los ataques de estilo Wiper son poco comunes hoy en día, ya que el foco principal del malware es el beneficio financiero. El peligro viene de acoplar los ataques de estilo Wiper con el hecho de que cada día se descubren más y más debilidades críticas de infraestructura.
Estimamos que los ataques de Wiper continuarán y pueden volverse aún más populares en el futuro cercano, como medio de atacar la infraestructura crítica en momentos precisos, para causar daños generalizados.