Wiper es un malware altamente destructivo que se observó por primera vez en Oriente Medio en 2012. Durante el conflicto entre Rusia y Ucrania de 2022, el malware de limpieza se convirtió en el arma cibernética preferida de los atacantes. Usar el ataque "borrador" es como jugar "disparo a la cabeza" al comienzo del ajedrez.
El malware Wiper tiene similitudes con el ransomware. Ambos tipos de malware dañan maliciosamente el sistema y dejan a las víctimas sin poder acceder a archivos y datos. La única diferencia es que el malware de limpieza rara vez extorsiona dinero con fines financieros. El propósito de un borrador es causar la pérdida permanente de datos mediante destrucción.
El borrador también se puede utilizar para destruir completamente el sistema después de robar información confidencial para destruir rastros de ataques de intrusión.
El primer malware de limpieza observado fue Shamoon, que surgió en 2012 y se utilizó en un ataque devastador contra el gigante petrolero saudita Saudi Aramco. Los informes públicos indican que Shamoon fue liberado por una persona con acceso a los sistemas de Saudi Aramco.
Shamoon elimina datos del disco duro y los reemplaza con imágenes de banderas estadounidenses quemadas. El malware comprometió a más de 30.000 ordenadores. Saudi Aramco se vio obligada a cerrar su red corporativa interna para detener la propagación del virus.
Otro gusano limpiador con gran impacto es NotPetya. En 2017, los investigadores notaron que este gusano limpiador autopropagante penetró en las redes ucranianas. NotPetya se disfraza de ransomware y exige un "rescate" a los usuarios, pero en realidad carece de un mecanismo de pago o recuperación de datos.
NotPetya se propaga como un gusano en la red a través de vulnerabilidades de seguridad en los sistemas Windows, extendiéndose rápidamente más allá de su objetivo original y afectando a algunas grandes empresas de todo el mundo, incluidos los gigantes del transporte marítimo internacional Maersk y FedEx, y la compañía farmacéutica Merkel. Gram y la constructora Saint-Gobain.
Según estimaciones de la Casa Blanca, las pérdidas totales causadas por NotPetya alcanzaron los 10 mil millones de dólares en 2017, lo que lo convierte en uno de los malware más dañinos económicamente hasta la fecha.
Otros limpiadores suelen ser sólo una de las muchas funciones del arsenal de un atacante. En abril de 2022, los investigadores revelaron el marco de malware INCONTROLLER (también conocido como PIPEDREAM), que fue desarrollado específicamente por atacantes para interrumpir los procesos industriales.
El mortal malware, descrito por los investigadores como una "navaja suiza" para ciberataques industriales, incluye una amplia gama de componentes que pueden atacar dispositivos, interrumpir o impedir que los operadores accedan a ellos, bloquearlos permanentemente o utilizarlos. como punto de apoyo para acceder a otras partes de la red.
La adaptabilidad y versatilidad de INCONTROLLER significa que podría suponer una amenaza para casi cualquier tipo de sistema industrial en todo el mundo. Afortunadamente, los investigadores descubrieron el malware y comenzaron a crear defensas contra él.
Desde el conflicto ruso-ucraniano de febrero de 2022, los investigadores han observado un aumento en el número de nuevos limpiadores utilizados en ciberataques. Estos limpiaparabrisas se utilizaron para atacar a varias entidades en Ucrania, incluidas agencias gubernamentales, bancos y empresas de servicios públicos.
El impacto de algunos limpiaparabrisas se extendió más allá de las fronteras de Ucrania. En un ciberataque del 24 de febrero de 2022 a la red KA-SAT del proveedor estadounidense de comunicaciones por satélite Viasat, el limpiador AcidRain Wiper dejó inoperables decenas de miles de módems.
El ataque interrumpió las conexiones a Internet de decenas de miles de clientes de Viasat en Ucrania y Europa, e incluso interrumpió la monitorización remota de 5.800 turbinas eólicas en Alemania (las turbinas funcionaban con normalidad, pero no podían gestionarse de forma remota).
Defensa contra los limpiadores:
Dado que los limpiadores son obviamente ataques avanzados de organizaciones hostiles, los atacantes están obligados a utilizar cualquier medio posible para invadir e infiltrarse.
Por lo tanto, las organizaciones deben tomar medidas de defensa de seguridad más estrictas: detectar y reparar vulnerabilidades de seguridad de manera oportuna, implementar sistemas de defensa de terminales que cubran todos los puntos finales, detectar y corregir contraseñas débiles, detectar y lidiar con el movimiento lateral de amenazas e implementar una copia de seguridad completa de los datos. sistema .