Las organizaciones públicas en Rusia, incluidas las alcaldías y los tribunales, están siendo atacadas por una variante de malware completamente nueva y bastante tortuosa.
CryWiper se hace pasar por ransomware e intenta extorsionar a las víctimas con un poco de dinero (0,5 bitcoins, o aproximadamente 9000 dólares en el momento de la publicación), pero su objetivo no es que le paguen, sino destruir todos los archivos que se encuentran en el terminal infectado.
Los investigadores de seguridad cibernética de Kaspersky informan sobre ataques cibernéticos «precisos» en Rusia, en los que los archivos infectados obtienen una nueva extensión: .cry (de ahí el nombre CryWiper). Si bien los medios locales dijeron que los atacantes tenían como objetivo las alcaldías y los juzgados del país, no se sabe exactamente cuántas entidades lograron comprometer.
¿Rusos apuntando a rusos?
Lo que sí sabemos es que el malware comparte rasgos comunes con otras dos cepas de malware: Trojan-Ransom.Win32.Xorist y Trojan-Ransom.MSIL.Agent. Todos estos tienen la misma dirección de correo electrónico que figura en la nota de rescate. Xorist se vio por primera vez en 2010 y se describe como una familia de ransomware de Windows dirigida a usuarios de habla rusa e inglesa.
CryWiper fue escrito en C++ que, según Ars Technicaes una elección inusual y apunta a la posibilidad de que los actores de la amenaza utilicen un dispositivo que no sea Windows para escribir el código.
La misma publicación también afirma que el malware es relativamente similar a IsaacWiper, un malware de limpieza que recientemente se dirigía a empresas con sede en Ucrania. Aparentemente, ambos limpiaparabrisas están usando el mismo algoritmo para generar números pseudoaleatorios que sobrescriben los datos en los archivos, corrompiéndolos permanentemente.
Los atacantes supuestamente están utilizando el algoritmo Mersenne Vortex PRNG, que es otro rasgo poco común.
Los limpiaparabrisas se encuentran entre las variantes de malware más peligrosas que existen, ya que su único propósito es «borrar» todos los datos en el punto final de destino de forma permanente. Para defenderse de tales ataques, se recomienda a los usuarios que tengan cuidado al descargar archivos adjuntos de correo electrónico y que se aseguren de que su software y hardware estén siempre actualizados. Contar con soluciones de ciberseguridad de última generación (se abre en una pestaña nueva) también se aconseja.
Vía: Ars Technica (se abre en una pestaña nueva)