Wiper_(malware) Knowpia

En seguridad informática, es un tipo de software malicioso diseñado para borrar de manera permanente la información almacenada en los dispositivos que infecta. A diferencia de otros programas maliciosos como el ransomware, cuyo objetivo suele ser extorsionar a las víctimas, los wiper buscan inutilizar sistemas enteros mediante la destrucción de datos, ya sea del disco duro u otra memoria estática del ordenador infectado, sin posibilidad de recuperación. Este tipo de ataques se ha observado con frecuencia en contextos de conflictos geopolíticos y en actividades de hacktivismo.^[1]

Ejemplos

Un malware conocido como «Wiper» se utilizó supuestamente en ataques contra compañías petroleras iraníes. En 2012 la Unión Internacional de Telecomunicaciones proporcionó a Kaspersky Lab discos duros supuestamente dañados por Wiper para su análisis. Aunque no se pudo encontrar una muestra del supuesto malware Kaspersky descubrió rastros de una pieza separada de malware conocida como Flame.^[2]^[3]^[4]

El malware Shamoon contenía un mecanismo de borrado de disco; se empleó en ataques de malware en 2012 y 2016 dirigidos a empresas energéticas saudíes y utilizaba un controlador comercial de acceso directo a unidades conocido como Rawdisk. La variante original sobrescribía los archivos con porciones de una imagen de una bandera de los Estados Unidos quemándose. La variante de 2016 era casi idéntica salvo que utilizaba una imagen del cuerpo de Alan Kurdi en su lugar.^[5]^[6]

Se utilizó un componente de borrado como parte del malware empleado por el grupo Lazarus, una asociación de ciberdelincuentes con presuntos vínculos con Corea del Norte, durante el ciberataque a Corea del Sur de 2013, y el hackeo a Sony Pictures de 2014.^[7]^[8]^[9] El hackeo de Sony también utilizó RawDisk.^[5]

En 2017 ordenadores de varios países, Ucrania entre los más destacados, fueron infectados por Not Petya, que es una variante del ransomware Petya que era un wiper en sentido funcional. El malware infecta el registro de arranque maestro con una carga útil que cifra la tabla de archivos interna del NTFS sistema de archivos. Aunque seguía exigiendo un rescate se descubrió que el código se había modificado significativamente, de modo que la carga útil no podía revertir realmente sus cambios incluso si el rescate se pagaba con éxito.^[10]^[11]

Durante los ciberataques a Ucrania de 2022 se descubrieron diversas variantes de malware wiper en sistemas informáticos relacionados con Ucrania. Bautizados por los investigadores como Caddy Wiper, Hermetic Wiper, Isaac Wiper y Fox Blade, los programas mostraban poca relación entre sí, lo que hizo especular con la posibilidad de que hubieran sido creados especialmente para esta ocasión por diferentes actores patrocinados por el estado ruso. ^[12]

Solución

La redundancia reactiva es una posible solución para la protección contra la destrucción de datos. Los investigadores son capaces de crear sistemas capaces de analizar los búferes de escritura antes de que lleguen a un medio de almacenamiento, determinar si la escritura es destructiva y preservar los datos bajo destrucción.^[13]

Referencias

↑ «What are Wiper Cyber Attacks? | CrowdStrike». CrowdStrike.com (en inglés estadounidense). Consultado el 1 de abril de 2025.
↑ «Malware destructivo - Cinco limpiadores en el punto de mira». Securelist. Consultado el 3 de julio de 2017.
↑ Zetter, Kim. «El malware limpiador que afectó a Irán dejó posibles pistas sobre su origen». Wired.com (en inglés estadounidense). Consultado el 3 de julio de 2017.
↑ Erdbrink, Thomas (23 de abril de 2012). «Frente a un ciberataque, las autoridades iraníes desconectan algunas terminales petrolíferas de Internet». The New York Times. Archivado desde html el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012.
↑ ^a ^b «El malware limpiador Shamoon regresa con una venganza». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.
↑ Perlroth, Nicole (24 de agosto de 2012). «Entre las migajas digitales del ciberataque a Saudi Aramco, imagen de la bandera de Estados Unidos ardiendo». Bits. The New York Times. Consultado el 3 de julio de 2017.
↑ «Dentro del malware «wiper» que puso de rodillas a Sony Pictures [Actualización]». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.
↑ Palilery, Jose (24 de diciembre de 2014). «Qué causó el hackeo de Sony: Lo que sabemos ahora». CNNMoney. Consultado el 4 de enero de 2015.
↑ Zetter, Kim. «Los hackers de Sony estaban causando el caos años antes de golpear a la compañía». Wired. Consultado el 3 de julio de 2017.
↑ «El brote masivo de ransomware del martes fue, de hecho, algo mucho peor». Ars Technica (en inglés estadounidense). 28 de junio de 2017. Consultado el 28 de junio de 2017.
↑ «El ciberataque se trataba de datos y no de dinero, dicen los expertos». BBC News. 29 de junio de 2017. Consultado el 29 de junio de 2017.
↑ «Sicherheitsforscher finden neue Zerstörungs-Malware auf ukrainischen Computersystemen». standard.at. Consultado el 15 de marzo de 2022.
↑ Gutierrez, Christopher N.; Spafford, Eugene H.; Bagchi, Saurabh; Yurek, Thomas (1 de mayo de 2018). «Redundancia reactiva para la protección contra la destrucción de datos (R2D2)». Computers & Security 74: 184-201. ISSN 0167-4048. doi:10.1016/j.cose.2017.12.012.

Datos: Q8026703

[1] «What are Wiper Cyber Attacks? | CrowdStrike». CrowdStrike.com (en inglés estadounidense). Consultado el 1 de abril de 2025.

[2] «Malware destructivo - Cinco limpiadores en el punto de mira». Securelist. Consultado el 3 de julio de 2017.

[3] Zetter, Kim. «El malware limpiador que afectó a Irán dejó posibles pistas sobre su origen». Wired.com (en inglés estadounidense). Consultado el 3 de julio de 2017.

[4] Erdbrink, Thomas (23 de abril de 2012). «Frente a un ciberataque, las autoridades iraníes desconectan algunas terminales petrolíferas de Internet». The New York Times. Archivado desde html el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012.

[«ars-shamoon»-5] «El malware limpiador Shamoon regresa con una venganza». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.

[6] Perlroth, Nicole (24 de agosto de 2012). «Entre las migajas digitales del ciberataque a Saudi Aramco, imagen de la bandera de Estados Unidos ardiendo». Bits. The New York Times. Consultado el 3 de julio de 2017.

[7] «Dentro del malware «wiper» que puso de rodillas a Sony Pictures [Actualización]». Ars Technica (en inglés estadounidense). Consultado el 3 de julio de 2017.

[8] Palilery, Jose (24 de diciembre de 2014). «Qué causó el hackeo de Sony: Lo que sabemos ahora». CNNMoney. Consultado el 4 de enero de 2015.

[9] Zetter, Kim. «Los hackers de Sony estaban causando el caos años antes de golpear a la compañía». Wired. Consultado el 3 de julio de 2017.

[«ars-wiper»-10] «El brote masivo de ransomware del martes fue, de hecho, algo mucho peor». Ars Technica (en inglés estadounidense). 28 de junio de 2017. Consultado el 28 de junio de 2017.

[BBCPMdc-11] «El ciberataque se trataba de datos y no de dinero, dicen los expertos». BBC News. 29 de junio de 2017. Consultado el 29 de junio de 2017.

[12] «Sicherheitsforscher finden neue Zerstörungs-Malware auf ukrainischen Computersystemen». standard.at. Consultado el 15 de marzo de 2022.

[13] Gutierrez, Christopher N.; Spafford, Eugene H.; Bagchi, Saurabh; Yurek, Thomas (1 de mayo de 2018). «Redundancia reactiva para la protección contra la destrucción de datos (R2D2)». Computers & Security 74: 184-201. ISSN 0167-4048. doi:10.1016/j.cose.2017.12.012.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Summary

Ejemplos

Solución

Referencias