Análisis del malware Wiper, que puso a Sony de rodillas

0
¿Estuvo Corea del Norte tras el ataque a Sony?

¿Estuvo Corea del Norte tras el ataque a Sony?

Hace días tuvimos las primeras noticias de un importante ciber-ataque contra la corporación Sony Pictures Entertainment. El FBI publicaba en su momento una nota de prensa para detallar el ataque. Hablemos de Wiper.

Malware Wiper ¿Qué es?

Después se sembró cierto revuelo, cuando se supo que el malware empleado en esta operación, Wiper, había sido utilizado previamente en un ataque de EEUU, lo que llevó a pensar que el gigante asiático fuera un objetivo americano de este exploit. Reuters emitió una nota la semana pasada, en la que se nos alertaba de la posibilidad de que el malware sobreescribiese los datos contenidos en el MBR del disco, convirtiendo en:

“extremadamente difícil y costoso, si no imposible, recuperar los datos mediante operaciones forenses tradicionales”.

Según informaba Jaime Blasco, director de la compañía AlienVault Labs (y que ha seguido de cerca el malware Wiper) se han descubierto al menos 3 variantes de esta amenaza, detalladas por el FBI.

En declaraciones a SCMagazine, Blasco afirmó que era capaz de vincular las muestras que encontró con las halladas por el FBI, mediante varios IOCs (Indicators of Compromise) emitidos por la agencia.

No podemos decir si todos han sido usados en el ataque contra Sony. Pero podemos decir que al menos una muestra hallada si ha sido empleada en el ataque contra Sony, ya que se ha encontrado información sobre la red interna de Sony dentro del malware.

Blasco encontró nombres de servidores de la red de Sony, alojados dentro del malware, además de un conjunto de nombre de usuario y contraseña, que el malware habría empleado para conectarse a la red interna de la empresa. 

Indicios contra Corea del Norte

Siguiendo con la investigación, nos hemos ido enterando de que los atacantes utilizaron lenguaje coreano en los sistemas empleados para ensamblar ciertos fragmentos de código dentro de Wiper.

Kim Jong Un es sospechoso de lanzar el malware Wiper contra Sony

Estas informaciones refuerzan la teoría de que Corea del Norte estaría potencialmente envuelta en el ataque a Sony. Oficiales de Corea del Norte habrían mostrado su profundo malestar con una película que el gigante asiático planea estrenar en breve: “The Interview” (La entrevista). Se trata de una comedia en la que el argumento principal se centra en un asesinato planeado contra el líder de Corea del Norte, Kim Jong Un.

Trend Micro detalló recientemente sus propiasa conclusiones respecto del malware. Han bautizado a Wiper como “BKDR_WIPALL” y se han encontrado otras variantes del malware.

BKDR_WIPALL.A

Esta muestra de Wiper está notablamente cifrada con una serie de nombres y contraseñas de usuario, como se muetra en la siguiente imagen, que publicaron en su entrada del Blog.

Malware Wipall

Malware Wipall

Una vez iniciada la sesión, el malware intenta obtener acceso completo de cualquier usuario que acceda al usuario root” según comentaron.

BKDR_WIPALL.B

La otra variante, WIPALL.B, borra los archivos del usuario (haciendo honor a su nombre “Wiper”) y además desactiva el servicio Microsoft Exchange Information Store, un repositorio central de datos para Microsoft Exchange, que contiene el almacen de correos y datos de carpetas públicas.

La puerta trasera (Backdoor) se quedará latente durante 2 horas, forzando el sistema a reiniciarse después. Además, BKDR_WIPALL.B accederá al disco físico al que pretende sobreescribir.

La relación entre el malware Wiper y Sony

Trend Micro ha ofrecido una teoría de conexión entre Wiper y el ataque sufrido por Sony. Sobre todo tras documentar nuevas variantes de WIPALL. Una de las últimas –WIPALL.D– era usada para desplegar otra variante del malware (WIPALL.C) que posteriormente descargará un archivo de “fondo de pantall” en el directorio de Windows. El fondo de pantalla muestra claramente el mensaje:

Este es un grupo de hackers que asumió la responsabilidad sobre el ataque realizado contra Sony. También se les conoce como “Guardians of Peace“. 

Filtraciones masivas

Se cree que los responsables de infectar y de filtrar datos en la red de Sony son los mismos. Después de dicho ataque y de recabar enormes cantidades de información dentro de Sony, los delincuentes han estado realizando filtraciones de datos corporativos en la red.

“Motivo por el cual podemos pensar que se trata del mismo malware usado en los últimos ataques realizados contra Sony”

Lo que aún queda por confirmar, hasta nuevos indicios, es si este es un ataque orquestado por un gobierno o su naturaleza es activista o, mejor dicho, #hacktivista

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR