Un nuevo malware de limpieza de datos llamado Limpiaparabrisas se ha encontrado apuntando a las agencias gubernamentales rusas, incluidas las oficinas del alcalde y los tribunales.
«Aunque se disfraza de ransomware y extorsiona a la víctima por ‘descifrar’ los datos, [it] en realidad no encripta, sino que destruye deliberadamente los datos en el sistema afectado», los investigadores de Kaspersky Fedor Sinitsyn y Janis Zinchenko dijo en un escrito.
La publicación de noticias en idioma ruso compartió detalles adicionales de los ataques. Izvestia. Las intrusiones no se han atribuido a un grupo adversario específico hasta el momento.
Un malware basado en C++, CryWiper está configurado para establecer la persistencia a través de una tarea programada y comunicarse con un servidor de comando y control (C2) para iniciar la actividad maliciosa.
Además de finalizar los procesos relacionados con la base de datos y los servidores de correo electrónico, el malware está equipado con capacidades para eliminar instantáneas de archivos y modificar el Registro de Windows para evitar conexiones RDP en un intento probable de obstruir los esfuerzos de respuesta a incidentes.
Como último paso, el limpiador corrompe todos los archivos con la excepción de aquellos con extensiones «.exe», «.dll», «lnk», «.sys» y «.msi», mientras que también omite directorios específicos, incluido C :Windows, Boot y tmp, que de lo contrario podrían dejar la máquina inoperable.
Los archivos sobrescritos con datos basura se agregan posteriormente con una extensión llamada «.CRY», luego de lo cual se suelta una nota de rescate para dar la impresión de que es un programa de ransomware, instando a la víctima a pagar 0,5 Bitcoin para recuperar el acceso.
«La actividad de CryWiper muestra una vez más que el pago del rescate no garantiza la recuperación de los archivos», dijeron los investigadores, afirmando que el malware «destruye deliberadamente el contenido de los archivos».
CryWiper es el segundo cepa de malware de limpiaparabrisas de represalia dirigido a Rusia después de RURansom, un limpiador basado en .NET que se encontró apuntando a entidades en el país a principios de marzo.
El conflicto en curso entre Rusia y Ucrania ha implicado el despliegue de múltiples limpiaparabrisas, y este último se vio afectado por una amplia gama de malware como WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2 y DoubleZero.
«Los limpiaparabrisas pueden ser efectivos independientemente de las habilidades técnicas del atacante, ya que incluso el limpiaparabrisas más simple puede causar estragos en los sistemas afectados», dijo Max Kersten, investigador de Trellix. dijo en un análisis de malware destructivo el mes pasado.
«El tiempo requerido para crear una pieza de malware de este tipo es bajo, especialmente si se compara con puertas traseras de espionaje complejas y las vulnerabilidades que a menudo las acompañan que se utilizan. El retorno de la inversión no tiene por qué ser alto en esos casos, aunque es poco probable que algunos los limpiaparabrisas son para causar tantos estragos por sí mismos».