Analizamos Wiper, malware que puso de rodillas a Sony

Hace unos días tuvimos la primera noticia de un gran ataque cibernético contra la compañía Sony Pictures Entertainment. El FBI publicó finalmente en un comunicado de prensa los detalles del ataque. Vamos a hablar de Wiper.

Wiper Malware ¿Qué es esto?

Se sembró un gran revuelo cuando se supo que el malware utilizado en esta operación, Wiper, ya había sido utilizado en un ataque de Estados Unidos, lo que llevó a pensar que China era un objetivo estadounidense de este exploit. Reuters dio a conocer un comunicado la semana pasada, se nos advierte de la posibilidad de que el malware sobreescribiese los datos contenidos en el MBR del disco, por lo que se convirtió en:

"Extremadamente difícil y caro, si no imposible, para recuperar los datos usando las operaciones forenses tradicionales."

Como informó Jaime Blasco, director de la empresa AlienVault Labs (que ha estado siguiendo de cerca el Wiper malware) se encontró al menos tres variantes de esta amenaza, detallados por el FBI.

En declaraciones a SCMagazine, Blasco dijo que era capaz de conectar las muestras encontradas con los encontrados por el FBI, mediante varios IOCs (indicadores de compromiso) emitidos por la agencia.

“No podemos decir si todo se utilizó en el ataque a Sony. Pero podemos decir que al menos una muestra encontrada si se utilizó en el ataque a Sony, como la información encontrada en la red interna de Sony dentro del malware.”

Blasco encontró servidores de nombres de red Sony, ubicado dentro del programa malicioso, así como un nombre de usuario y contraseña, el malware se habrían utilizado para conectarse a la red interna.

La evidencia en contra de Corea del Norte

Después de la investigación, hemos estado escuchando que los atacantes utilizaron la lengua coreana en los sistemas utilizados para montar ciertos fragmentos de código dentro de Wiper.

Estos datos refuerzan la teoría de que Corea del Norte podría estar potencialmente involucrado en el ataque a Sony. Funcionarios norcoreanos expresaron su profundo descontento con una película que China planea lanzar pronto: "The Interview" (La entrevista). Es una comedia en la que la trama principal se centra en un asesinato planificado en contra del líder de Corea del Norte, Kim Jong Un.

Trend Micro detalló recientemente sus conclusiones propias sobre el malware. Han bautizado a Wiper como "BKDR_WIPALL" y encontraron otras variantes de malware.

BKDR_WIPALL.A

Esta muestra Wiper se cifra notablemente con una serie de nombres de usuario y contraseñas.

Una vez iniciada la sesión, el malware intenta obtener acceso total a cualquier usuario que acceda a la raíz ", comentaron.

BKDR_WIPALL.B

La otra variante, WIPALL.B, borra archivos de usuario (haciendo honor a su nombre "Wiper") y también desactiva el Microsoft Exchange Information Store, repositorio central de datos para Microsoft Exchange, que contiene el almacén de correos y datos de carpetas públicas.

La puerta trasera (backdoor) permanecerá inactivo durante dos horas, lo que obligara al sistema a reiniciarse después. Además, BKDR_WIPALL.B accederá al disco físico para ser sustituido.