Чистачки

Чистачката е зловреден софтуер, предназначен да унищожава данни и да прави системите неработещи. За разлика от друг зловреден софтуер, който може да открадне или криптира данни, изчиствачките имат за цел да изтрият или повреждат трайно файлове, което ги прави невъзстановими. Кибервойната и спонсорираните от държавата заплахи често използват чистачки, за да саботират критична инфраструктура, да нарушават операции или да водят психологическа война.

Характеристики

•Целенасочени и преднамерени – атаките на чистачките са внимателно планирани, често отнемат месеци за подготовка и обикновено са насочени към конкретни организации или инфраструктури.

•Разрушителни методи – Изчиствачките унищожават данни, като презаписват файлове с нули или произволни данни или частично повреждат документи, което прави системите нефункционални.

•Въздействие върху цялата мрежа – Някои чистачки са проектирани да се разпространяват в мрежите, засягайки отделни устройства и цели организационни мрежи.

•Фалшиви флагове – Нападателите могат да оставят фалшиви индикатори, за да подведат следователите или да прехвърлят вината върху други субекти.

•Основните мотиви зад атаките на чистачките включват унищожаване на доказателства, демонстриране на сила в геополитически конфликти и разклащане на морала на целевите субекти.

Примери

•HermeticWiper– Използва се при атаки срещу украински организации, част от по-широка кампания по време на руската инвазия.

•CaddyWiper– Друга чистачка, разположена в Украйна, насочена към различни организации.

•Industroyer2– усъвършенствана чистачка, насочена към индустриални системи за управление, използвана при атаки срещу украинската електрическа мрежа.

•(Не)Петя...Разрушителна чистачка, която засегна Украйна и се разпространи в световен мащаб, първоначално маскирана като рансъмуер.

•Олимпийски разрушител– Използван от отбора на Sandworm за прекъсване на Зимните олимпийски игри през 2018 г. в Южна Корея.

•Stuxnet– Въпреки че е известен предимно с това, че е насочен към индустриални системи за контрол, той причинява значителни физически щети на центрофугите в иранското ядрено съоръжение в Натанз, забавяйки ядрената му програма.

•Използванпрез 2012 и 2016 г. срещу саудитски енергийни компании, Shamoon презаписва файлове със символични изображения.

Риск за малките и средните предприятия (МСП)

Въпреки че малките и средни предприятияобикновено не са основните цели на атаки на чистачките, те могат да бъдат засегнати като съпътстващи щети или чрез атаки по веригата за доставки. Доставчиците на управлявани услуги (MSP), обслужващи по-големи организации, също могат да бъдат насочени към получаване на достъп до мрежите на своите клиенти.

Откриване и превенция

•Използвайте висококачествен софтуер за киберсигурност, като например решения за защита на ESET (продукти на ESET), за да откриете и блокирате злонамерен софтуер за чистачки.

•Прилагайте постоянен мониторинг на мрежата, за да идентифицирате необичайни дейности.

•Блокирайте неоторизиран достъп до критични системи.

•Имайте ефективна стратегия за архивиране и възстановяване, като гарантирате, че резервните копия се съхраняват офлайн или в защитени облачни среди.

•Ако бъде открита чистачка, незабавно изключете засегнатите процеси и изключете системата от мрежата, ако е безопасна.

Действие след инфекция

Възстановяването на данни може да е невъзможно при инфекция с чистачка, тъй като зловредният софтуер е предназначен да направи данните невъзстановими. Изолирането на засегнатата система и предотвратяването на по-нататъшното разпространение обаче е от решаващо значение. Често е необходимо възстановяване на системата от чисти резервни копия.