FORTINET XPERTS SUMMIT 2022: WIPERS, LOS VIRUS QUE BORRAN INFORMACION Y YA SUPERAN LOS CASOS DE RANSOMWARE

Los casos globales de ransomware están bajando y la principal preocupación de los analistas de seguridad en América Latina son los wipers, un tipo de software malicioso (malware) que borra toda la información de sus víctimas. Así lo explicó el director de estrategia global de seguridad de Fortinet, Derek Manky, en una mesa redonda del Fortinet Xperts Summit 2022 en Cancún. “Los wipers constituyen el peligro más grande de la actualidad: ciberataques destructivos. El ransomware y el robo de cuentas de mail corporativas (BEC) son moneda corriente hoy, pero este año detectamos un fuerte crecimiento de este tipo de programas que están escritos para destruir información”. Esta consolidación del ransomware se puede verificar particularmente en Argentina: durante los últimos años, nuestro país fue un campo minado de este tipo de programa malicioso, desde casos en el Estado como el Senado de la Nación o la Justicia de Córdoba, hasta empresas privadas como la prepaga Osde, que cayó en manos de Lockbit, una de las bandas más poderosas del momento.

Sin embargo, según un reciente estudio del laboratorio de amenazas Fortiguard Labs, la guerra en Ucrania hizo que los atacantes intensificaran el uso de wipers: se identificaron siete variantes nuevas durante los últimos seis meses de 2022, y cuatro de ellas están presentes en Latinoamérica. Una de las bandas con más músculo es Lockbit. Trabajamos sobre todo en el perfil de la banda, porque queremos saber todo lo que podamos sobre ellos para poder encontrar nuevas técnicas.

En relación al código fuente de Lockbit Hacemos el análisis, no ya del cifrado del ransomware, sino del propio malware. Tienen capas y capas y capas de lo que llamamos packers, es decir, cifrado personalizado. Para que te hagas una idea, mis mejores analistas pueden trabajar en una pieza trivial de malware, como un troyano o algo que no esté cifrado, y pueden escribir un informe completo en 24 horas, con muchos detalles. Con Lockbit puede llevar hasta 2 semanas de trabajo, porque son muchas horas para revisar todo. Y por eso lo hacen: nos retrasan, porque se necesita mucho más tiempo para hacer ingeniería inversa de su código. Y la encriptación cambia para cada objetivo, el problema de estas bandas hoy en día es que utilizan encriptación simétrica, por lo que las claves para desencriptar cambian según la víctima. No es sólo una. Antes podías tener una solución para revertir todo el daño, pero con estos más sofisticados es más difícil porque cambian la clave de descifrado en cada objetivo. No podés descifrar con la misma clave para todos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *