¿Qué es el malware CryWiper?

CryWiper es un wiper malware que imita al ransomware dejando una nota de rescate, pero los archivos alterados por CryWiper no se pueden restaurar, incluso si los objetivos deciden pagar. En lugar de cifrar los archivos del sistema de destino, CryWiper los sobrescribe con datos aleatorios, haciendo que los datos originales sean irrecuperables.

CryWiper se descubrió por primera vez a finales de 2022 dirigiéndose a entidades gubernamentales rusas, incluidas alcaldías y tribunales regionales. Aunque no se han atribuido los ataques de CryWiper, es probable que estén relacionados con la ciberguerra indirecta del conflicto entre Rusia y Ucrania.

CryWiper destruye permanentemente documentos, archivos y archivos de bases de datos como MySQL y Microsoft SQL Server, dejando intactos los archivos del sistema operativo Windows y los ejecutables normales. CryWiper no comparte el código fuente con otras familias de malware wiper como DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain o Industroyer2. Sin embargo, utiliza la misma dirección de correo electrónico en su falsa nota de rescate que la de los ransomwares Trojan-Ransom.Win32.Xorist y Trojan-Ransom.MSIL.Agent.

Últimas noticias sobre CryWiper

Surgen detalles sobre CryWiper, un nuevo limpiador de malware (BlackBerry Threat Intelligence Report)
Los tribunales rusos, objetivo del nuevo malware CryWiper Data Wiper que se hace pasar por ransomware (The Hacker News)
Eficaz, rápido e irrecuperable: El malware Wiper aparece por todas partes (Ars Technia)

Cómo funciona CryWiper

La carga útil de CryWiper es un ejecutable de Windows de 64 bits escrito en C++, a menudo denominado browserupdate.exe. Una vez que CryWiper ha infectado un sistema, recopila y envía información del sistema a un servidor de comando y control (C2) controlado por el atacante que determina si se debe proceder a la etapa de destrucción de datos del malware. Si se le indica que proceda, CryWiper utiliza la salida de un generador de números pseudoaleatorios para sustituir el contenido real de los archivos y deja caer una nota de rescate típica llamada README.txt, exigiendo 0,5 Bitcoin en cada directorio que contenga archivos destruidos.

Las técnicas utilizadas por el malware CryWiper incluyen:

Utiliza llamadas a funciones WinAPI para realizar la mayor parte de su actividad maliciosa
La carga útil de la primera fase de CryWiper duerme durante cuatro días para ocultar la causa de la infección.
Crea una tarea programada que se ejecuta cada cinco minutos, se pone en contacto con un servidor de mando y control (C2), envía información sobre el host y recibe la decisión de proceder o no a la destrucción de los archivos.
Apaga los procesos que bloquean el acceso a archivos sensibles como MySQL, MS SQL Server, Microsoft Exchange, Microsoft Active Directory.
Elimina las instantáneas de los archivos afectados para impedir su recuperación.
Modifica la configuración del Registro de Windows HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections para bloquear el acceso RDP al sistema infectado.
No cifra los archivos del directorio C:\Windows, los directorios de arranque y una lista selecta de extensiones de archivo (.exe, .dll, .lnk, .sys o .msi) para mantener la funcionalidad básica del sistema operativo Windows.
Utiliza un generador de números pseudoaleatorios conocido como "Vórtice de Mersenne" para sobrescribir el contenido de los archivos del objetivo.

Señales de un ataque CryWiper

Según la escasa información disponible sobre CryWiper, la mayoría de las veces se distribuye en formato ejecutable portátil (PE) con el nombre de archivo browserupdate.exe. Como CryWiper sobrescribe archivos, añade una extensión .CRY o .cry a cada archivo que altera y coloca un archivo llamado README.txt en cada directorio exigiendo 0,5 Bitcoins por un desencriptador. La nota de rescate contiene información convincente, como una dirección de correo electrónico de contacto, un número de identificación de la infección y una dirección de monedero. Sin embargo, el análisis de la carga útil del malware confirma que los archivos afectados por CryWiper no se cifran, sino que se sobrescriben con los datos del rescate, lo que los hace irrecuperables.

Cómo prevenir un ataque CryWiper

Prepararse para un ataque CryWiper es fundamental, ya que los archivos no pueden recuperarse, incluso si está dispuesto a pagar el rescate solicitado. Esto significa instalar e implementar soluciones fiables de seguridad para puntos finales, como software antivirus o un producto avanzado de detección y respuesta para puntos finales (EDR ), y actualizarlas periódicamente. La naturaleza implacable del impacto de CryWiper también significa que una estrategia fiable de copia de seguridad de los datos es esencial para restaurar el acceso a los archivos afectados.

CylanceOPTICS Evita los ataques de malware

Blackberry^® Cylance^®, que ofrece una ventaja predictiva sobre las amenazas de día cero, es eficaz contra malware como CryWiper. Blackberry Cylance entrena a agentes de inteligencia artificial (IA) para la detección de amenazas utilizando millones de archivos seguros y no seguros.

Blackberry Cylance impide la ejecución de variantes de malware basándose en la detección de varios atributos de archivos maliciosos, no en una firma de archivo específica. Este enfoque permite a nuestros clientes implementar una postura de seguridad basada en la prevención, eficaz contra amenazas desconocidas, emergentes y polimórficas, así como contra amenazas tradicionales.

Más información

Malware CryWiper