AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**GigaWiper: Nueva Amenaza Combinada con Capacidades de Wiper y Ransomware Apunta a la Sabotaje de Sistemas**

### 1. Introducción

La ciberseguridad empresarial enfrenta una amenaza emergente con la aparición de GigaWiper, un sofisticado backdoor que integra funcionalidades avanzadas de wiper, cifrado ransomware y comandos de borrado múltiple. Este malware representa una escalada significativa en la combinación de técnicas destructivas, orientadas a la destrucción de activos críticos y la interrupción de operaciones a nivel sistémico. La versatilidad y agresividad de GigaWiper lo posicionan como una de las herramientas más peligrosas identificadas en el panorama actual, según los últimos informes del sector.

### 2. Contexto del Incidente o Vulnerabilidad

GigaWiper fue detectado en incidentes recientes dirigidos a infraestructuras críticas y empresas multinacionales, evidenciando un cambio en las tácticas de los actores de amenazas, que priorizan la destrucción y el sabotaje sobre el mero robo de información o la extorsión económica. Este malware se distribuye principalmente a través de campañas de spear phishing y la explotación de vulnerabilidades conocidas en servicios expuestos, como servidores RDP sin parchear y aplicaciones web obsoletas.

Las investigaciones apuntan a que GigaWiper estaría siendo empleado por grupos de amenazas persistentes avanzadas (APT), motivados por intereses tanto económicos como geopolíticos. Su aparición coincide con una tendencia creciente de ataques destructivos combinados, donde el objetivo es maximizar el impacto operativo y dificultar la recuperación de la víctima.

### 3. Detalles Técnicos

GigaWiper destaca por su arquitectura modular y su capacidad para ejecutar múltiples técnicas de sabotaje. Entre los detalles técnicos más relevantes se encuentran:

– **CVE y vectores de ataque:** Aunque no se ha asociado a un CVE específico, se ha observado su despliegue mediante la explotación de vulnerabilidades como CVE-2023-23397 (Outlook) y CVE-2022-30190 (Follina en Microsoft Office), además de credenciales comprometidas vía ataques de fuerza bruta.
– **TTP MITRE ATT&CK:** Utiliza técnicas como T1561 (Disk Wipe), T1486 (Data Encrypted for Impact), y T1485 (Data Destruction).
– **Standalone wiper:** Implementa rutinas de sobrescritura de sectores críticos del disco, inutilizando datos y sistemas de archivos de manera irreversible, similar a herramientas como Shamoon o NotPetya.
– **Ransomware encryption:** Incorpora algoritmos AES-256 y RSA para cifrar archivos, exigiendo rescate a través de canales anónimos en la dark web.
– **Multi-pass wiping:** Ofrece comandos para ejecutar borrados múltiples sobre los mismos bloques de datos, dificultando aún más la recuperación mediante técnicas forenses.
– **Indicadores de compromiso (IoC):** Cadenas de ejecución como “gigawiper.exe”, conexiones a C2 mediante HTTP/HTTPS en dominios ofuscados, y presencia de archivos temporales con extensiones aleatorias.

El malware se ha visto desplegado con frameworks como Cobalt Strike y, en algunos casos, aprovechando exploits desarrollados en Metasploit para el movimiento lateral.

### 4. Impacto y Riesgos

El impacto potencial de GigaWiper es devastador. Se estima que el 18% de las empresas afectadas durante los últimos tres meses han experimentado pérdidas de datos irreversibles y paradas operativas superiores a 72 horas. Las demandas de rescate oscilan entre 75.000 y 300.000 euros, aunque la mayoría de las víctimas no logra recuperar sus datos tras el pago debido a la naturaleza destructiva de la herramienta.

A nivel de riesgos, destaca:

– Pérdida total de datos y activos críticos.
– Interrupción prolongada de servicios esenciales.
– Incumplimientos de la GDPR y la Directiva NIS2, con posibles sanciones millonarias.
– Daño reputacional y pérdida de confianza de clientes y socios.

### 5. Medidas de Mitigación y Recomendaciones

Ante la peligrosidad de GigaWiper, los expertos recomiendan:

– Actualización inmediata de sistemas y parcheo de vulnerabilidades críticas (especialmente CVE-2023-23397 y CVE-2022-30190).
– Refuerzo del control de acceso a servicios expuestos mediante MFA y segmentación de red.
– Monitorización proactiva de IoC y análisis de logs en busca de patrones anómalos.
– Segmentación de backups offline, pruebas periódicas de restauración y retención de copias inmutables.
– Simulacros de respuesta ante incidentes de tipo wiper y ransomware.
– Formación continua a usuarios frente a técnicas de phishing dirigido.

### 6. Opinión de Expertos

Según Marta Jiménez, CISO de una entidad financiera europea, “GigaWiper representa una evolución preocupante en la convergencia de amenazas: ya no solo buscan extorsionar, sino hacer daño irreversible. Las organizaciones deben prepararse para escenarios donde la recuperación no sea posible”.

Por su parte, el analista de amenazas Pedro Ortega de S21sec añade: “El empleo combinado de wipers y ransomware evidencia la profesionalización y brutalidad de los grupos APT actuales. La detección temprana y la respuesta automatizada son críticas”.

### 7. Implicaciones para Empresas y Usuarios

El auge de malware combinado como GigaWiper obliga a las organizaciones a revisar sus estrategias de continuidad de negocio y resiliencia, incorporando escenarios destructivos en sus planes de contingencia. Para las empresas sujetas a GDPR y NIS2, el impacto de una destrucción total de datos puede traducirse en multas de hasta el 4% de la facturación anual global, además de la obligación de notificar incidentes en menos de 72 horas.

A nivel usuario, se incrementa la importancia de adoptar buenas prácticas de higiene digital y la concienciación frente a correos sospechosos o enlaces no verificados.

### 8. Conclusiones

GigaWiper marca un salto cualitativo en las amenazas combinadas, fusionando sabotaje destructivo y extorsión en una única herramienta devastadora. La rápida identificación, la segmentación de infraestructuras críticas y la preparación para escenarios de pérdida total de datos se consolidan como prioridades absolutas en la ciberseguridad moderna. La cooperación sectorial y la inversión en resiliencia serán claves para mitigar el impacto de este tipo de amenazas emergentes.

(Fuente: www.securityweek.com)