Este nuevo malware ha puesto en jaque la sostenibilidad y la seguridad mundiales.
Wiper es muy eficaz y podría desembocar en la creación de nuevo malware de "imitación" destructivo, como Shamoon.
En abril de 2012 una serie de incidentes hicieron pública la aparición de un nuevo programa de malware destructivo llamado Wiper, que estaba atacando a los sistemas informáticos relacionados con una serie de instalaciones de petróleo al oeste de Asia. En mayo de 2012, el equipo de investigación de Kaspersky Lab realizó una búsqueda impulsada por la agencia de Naciones Unidas para la Información y la Comunidad Tecnológica (ITU), para investigar los hechos y determinar la potencial amenaza de este nuevo malware que ponía en jaque la sostenibilidad y la seguridad mundiales.
Hoy se hace pública una nueva investigación de los expertos de Kaspersky Lab tras un análisis forense digital de las imágenes de disco duro obtenidos de las máquinas atacadas por Wiper. El análisis proporciona información detallada sobre el eficaz método utilizado por Wiper para la destrucción de los sistemas informáticos, incluyendo datos exclusivos de limpieza de patrones y comportamientos destructivos. A pesar de que la búsqueda de Wiper desembocó en el descubrimiento accidental de Flame, Wiper en sí no fue identificado.
Conclusiones:
• Kaspersky Lab confirma que Wiper fue responsable de los ataques lanzados contra los sistemas informáticos del oeste de Asia del 21 al 30 de abril de 2012.
• El análisis de las imágenes del disco duro de las computadoras que fueron destruidas por Wiper revelan un patrón de datos de limpieza específico junto con un nombre de determinado componente de malware, que empezaba con ~ D. Estos resultados son una reminiscencia de Duqu y Stuxnet, que también utilizan nombres de archivo que comienzan con ~ D, y ambos fueron construidos en la misma plataforma - conocida como Tilded.
• Kaspersky Lab comenzó a buscar otros archivos que comenzaran con ~ D a través de Kaspersky Security Network (KSN) para tratar de encontrar archivos adicionales de Wiper basados en la conexión con la plataforma Tilded.
• Durante este proceso, Kaspersky Lab identificó un gran número de archivos en el oeste de Asia, llamados ~ DEB93D.tmp. Un análisis más detallado mostró que este archivo era en realidad parte de otro tipo de malware: Flame. Así es como Kaspersky Lab descubrió Flame.
• A pesar de que Flame se descubriera durante la búsqueda de Wiper, el equipo de investigación de Kaspersky Lab cree que Wiper y Flame son dos programas maliciosos separados y distintos.
• A pesar de que Kaspersky Lab analiza los rastros de infección Wiper, el malware sigue siendo desconocido porque no se han registrado incidentes adicionales de limpieza que sigan el mismo patrón.
• Wiper es muy eficaz y podría desembocar en la creación de nuevo malware de "imitación" destructivo, como Shamoon.
Análisis forense de las computadoras afectadas
El análisis de Kaspersky Lab de las imágenes de disco duro adoptadas por las máquinas destruidas por Wiper mostró que el programa malicioso limpió los discos duros de los sistemas de destino y destruyó todos los datos que podrían ser utilizados para identificar el malware. El sistema de archivos corrompidos por Wiper impedía reiniciar los equipos y desembocó en un mal funcionamiento general. Por lo tanto, en cada máquina que se ha analizado, casi no quedó nada después de la activación de Wiper, incluida la posibilidad de recuperar o restaurar los datos.
Además, la investigación de Kaspersky Lab revela información valiosa sobre el patrón específico de limpieza utilizado por el malware, junto con algunos nombres de componentes del malware y, en algunos casos, las claves de registro que revelaron los nombres anteriores de archivos borrados del disco duro. Estas claves del registro apuntaban que el nombre de archivo comenzaba con ~ D.
Patrón único de limpieza
El análisis del patrón de barrido de Wiper mostró un método, que se llevó a cabo en cada máquina en la que se activó el malware. El algoritmo de Wiper fue diseñado para destruir rápidamente todos los archivos de forma efectiva y pueden incluir varios gigabytes a la vez. Alrededor de tres de cada cuatro máquinas seleccionadas tenían sus datos completamente borrados, con una operación que se centra en la destrucción de la primera mitad del disco y que luego limpia sistemáticamente los archivos restantes que permitieron que el disco funcionara correctamente, dando lugar a que el sistema finalmente fallase. Además, sabemos que los ataques de Wiper se dirigen a los archivos específicos .PNF, que no tendrían sentido si no se relacionan con la eliminación de componentes maliciosos adicionales. Éste fue también un hallazgo interesante, ya que Duqu y Stuxnet mantuvieron su cuerpo principal cifrado en archivos .PNF.
Cómo la búsqueda de Wiper llevó a descubrir Flame
Los archivos temporales (TMP) que comienzan con ~ D también fueron utilizados por Duqu, que fue construido al igual que Stuxnet, en la plataforma de ataque Tilded. A partir de aquí, el equipo de investigación de Kaspersky Lab comenzó a buscar otros nombres de archivos potencialmente desconocidos relacionados con Wiper y basados en la plataforma Tilded utilizando KSN, que es la infraestructura cloud utilizada por Kaspersky Lab para ofrecer una protección instantánea en forma de listas negras y reglas heurísticas diseñadas para atrapar las amenazas más recientes.
Durante este proceso, el equipo de investigación de Kaspersky Lab descubrió que varias computadoras en Asia occidental contenían el nombre de archivo "“~DEB93D.tmp". Así es como Kaspersky Lab descubrió Flame, sin embargo, no se encontró Wiper usando este método y todavía no se ha identificado.
Alexander Gostev, experto y jefe de seguridad de Kaspersky Lab, afirma: "Basado en nuestro análisis de los patrones de Wiper y examinar imágenes del disco duro, no hay duda de que el malware existió y fue utilizado para atacar los sistemas informáticos en el oeste de Asia en abril de 2012, y probablemente incluso antes - en diciembre de 2011. A pesar de que hemos descubierto Flame durante la búsqueda de Wiper, creemos que Wiper no es Flame, sino un tipo distinto de malware. El comportamiento destructivo de Wiper, combinado con los nombres de los archivos que quedaron borrados en los sistemas, se parece mucho al programa que utiliza la plataforma Tilded. La arquitectura modular de Flame era completamente diferente y fue diseñado para ejecutar una sostenida y exhaustiva campaña de ciberespionaje. Asimismo, no se identificó ningún comportamiento destructivo que fuera utilizado por Wiper durante nuestro análisis de Flame".
En este blog de los analistas de Kaspersky Lab pueden obtener más información sobre Wiper:
http://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing