¿Tener todos los datos importantes borrados para siempre? Para la mayoría de las empresas, este es un caso de pesadilla. Los ataques wiper de esta primavera en Ucrania, que el equipo de ESET Research descubrió, demuestran la rapidez con la que este malware se propaga por las redes y la magnitud de los daños que puede causar. ¿Cuál es la motivación habitual detrás de estos ataques, cuál es el riesgo para las pymes y cómo se pueden detectar o tratar los wipers? He aquí un resumen básico de todo lo que necesitas saber, preparado en colaboración con Ondrej Kubovic, especialista en concienciación de seguridad de ESET.
Las pymes no son el objetivo habitual, pero eso no significa que no deban preocuparse
Los ataques wiper son selectivos, bien pensados y a menudo preparados con meses de antelación. Sin embargo, aparecen con poca frecuencia porque no hay un beneficio económico directo para los atacantes, en comparación con, por ejemplo, los ataques de ransomware. El objetivo de los ciberdelincuentes suele ser la destrucción de datos y sistemas clave, y los wipers se utilizan habitualmente como armas en luchas entre estados o grupos de cibercriminales sofisticados. Aunque las vulneraciones de contraseñas y los ataques de ransomware siguen siendo las mayores amenazas para las pymes, vale la pena ser precavido. Algunas pymes también han sido víctimas de ataques con wiper, ya sea como daños colaterales o como parte de complejas cadenas de suministro.
Enlace: (Not)Petya
Enlace: MSP
¿La motivación detrás de los ataques wiper? Destruir pruebas y mostrar poder
En algunos casos, los ataques con wiper no son más que el paso final de ciberataques más complejos que incluyen robos o cifrados de datos. Con frecuencia, los autores utilizan los wipers no solo para destruir datos, sino también para deshacerse de las pruebas. Ese fue también el caso del ataque Industroyer en 2016, durante el cual los atacantes comprometieron los sistemas de una empresa de distribución de energía en Kyiv, Ucrania, y posteriormente utilizaron un wiper para cubrir sus huellas. Al eliminar las pruebas, los wipers hacen casi imposible que las víctimas identifiquen cómo llegó el malware a sus dispositivos o cómo actuó cuando se instaló.
Durante los recientes ciberataques en Ucrania, el malware conocido como HermeticWiper fue codesarrollado con HermeticWizard y HermeticRansom, y una nueva variante del mencionado malware Industroyer apareció - esta vez, Industroyer2 fue codesarrollado con CaddyWiper y varios otros wipers, específicamente dirigidos a redes Linux y Solaris.
Durante los conflictos geopolíticos, los wipers pueden utilizarse para demostrar poder y servir como parte de la guerra psicológica. Los atacantes quieren demostrar que son capaces de destruir parte o partes del sistema del "adversario", con la esperanza de que el ataque sacuda su confianza y proyecte la capacidad destructiva del autor de la amenaza. En estos casos, los wipers no se utilizan necesariamente para destruir los datos clave de un solo dispositivo, sino también para sabotear toda una red, simplemente porque el atacante puede hacerlo.
Enlace: el caso de Stuxnet
Otros ataques podrían tener las mismas consecuencias que los wipers (borrado de datos)
Algunos ataques de ransomware pueden acabar teniendo el mismo efecto que los ataques de wiper, haciendo que las víctimas pierdan irremediablemente datos importantes. Esto ocurre cuando los atacantes pretenden realizar un ataque de ransomware, pero implementan una parte del proceso de cifrado de forma incorrecta, por lo que no consiguen descifrar los datos afectados. En estos casos, los datos se pierden, como ocurre con un ataque wiper, aunque no haya sido la intención del ciberdelincuente. En otros casos, los wipers pueden hacerse pasar por ataques de ransomware, como fue el caso de (Not)Petya.
Los atacantes dejan pruebas falsas
Por lo general, es bastante problemático encontrar registros que muestren cómo el wiper entró en el sistema. A menudo, se infectan varios sistemas a la vez. Los atacantes suelen colocar las llamadas banderas falsas -como partes de código o modus operandi- típicas de un grupo de atacantes rivales. De este modo, se puede culpar a otro sujeto en lugar de a los verdaderos autores. Es casi imposible estar seguro al 100% de quién está detrás de los grandes ataques wiper hasta que las autoridades y los servicios de seguridad intervienen y utilizan su propia inteligencia para hacer la atribución, un paso que suele ir seguido de sanciones personales contra los autores.
Parada del sistema de procesamiento, parada del wiper
Si se detecta un wiper en tu sistema, cierra todos los procesos en ejecución y desconecta el dispositivo de la red, si es posible. Recuerda: Este método solo puede aplicarse cuando el cierre de los procesos en cuestión no vaya a causar más daños o poner en peligro la seguridad de los empleados. La velocidad del borrado de datos depende del alcance del ataque. Algunos ataques tienen prioridades estrictamente predefinidas y pueden hacer caer toda la empresa en cuestión de minutos, mientras que otros duran horas y pueden ser interrumpidos, al menos parcialmente.
Recuerda siempre contar con una estrategia eficaz de copia de seguridad y recuperación. En caso de que te conviertas en el objetivo de un ataque de wiper, aún puedes tener un almacenamiento de copia de seguridad fuera del sitio o en la nube que te permita recuperar tus datos en tan solo unos minutos o días.
Identificar los datos que son cruciales para tu negocio también vale la pena. Mientras que algunas empresas pueden permitirse perder algunas facturas, para otras la destrucción de datos puede ser desastrosa. Imagina que una empresa de juegos sufre un ataque de este tipo. La pérdida de datos de meses de jugadores en un juego online multijugador puede causar un enorme daño a la reputación y desmotivar a los usuarios para que vuelvan. A pesar de ser " un simple juego", el incidente podría acabar destruyendo el flujo de ingresos de la empresa y obligarla a abandonar el negocio.
Las copias de seguridad de los datos sin conexión y fiables y las estrategias de ciberseguridad sofisticadas podrían mitigar los riesgos, haciendo que los sistemas de las empresas sean más resistentes y obligando a los ciberdelincuentes a buscar otras formas de ganar dinero.
