Wiper

Wiper je malware určený ke zničení dat a vyřazení systémů z provozu. Na rozdíl od jiného malwaru, který může ukrást nebo zašifrovat data, je cílem wiperů trvale odstranit nebo poškodit soubory, takže je nelze obnovit. Aktéři kybernetické války a státem sponzorované hrozby často používají wipery k sabotáži kritické infrastruktury, narušení provozu nebo vedení psychologické války.

Charakteristika

•Cílené a promyšlené útoky - útoky typu Wiper jsou pečlivě naplánované, jejich příprava často trvá měsíce a obvykle jsou zaměřeny na konkrétní organizace nebo infrastruktury.

•Destruktivní metody - wipery ničí data přepisováním souborů nulami nebo náhodnými daty nebo částečně poškozují dokumenty, čímž způsobují nefunkčnost systémů.

•Celosíťový dopad - některé wiper programy jsou navrženy tak, aby se šířily napříč sítí a ovlivňovaly jednotlivá zařízení i celé organizační sítě.

•Falešné vlajky Útočníci mohou zanechat falešné indicie, aby zmátli vyšetřovatele nebo přenesli vinu na jiné subjekty.

•Motivace - mezi hlavní motivy útoků wipery patří zničení důkazů, demonstrace síly v geopolitických konfliktech a narušení morálky cílových subjektů.

Příklady

•HermeticWiper-Použití při útocích na ukrajinské organizace, součást širší kampaně během ruské invaze.

•CaddyWiper-Další wiper nasazený na Ukrajině, zaměřený na různé organizace.

•Industroyer2-Sofistikovaný wiper zaměřený na průmyslové řídicí systémy, který se používá při útocích na ukrajinskou energetickou síť.

•(Ne)Petya-Ničivý wiper, který zasáhl Ukrajinu a rozšířil se po celém světě, původně maskovaný jako ransomware.

•Olympic Destroyer Používá ho tým Sandworm k narušení zimních olympijských her 2018 v Jižní Koreji.

•Stuxnet ačkoli je známý především tím, že se zaměřuje na průmyslové řídicí systémy, způsobil značné fyzické poškození odstředivek v íránském jaderném zařízení Natanz, čímž zpozdil jeho jaderný program.

•Shamoon v letech 2012 a 2016 byl použit proti saúdským energetickým společnostem a přepsal soubory symbolickými obrázky.

Rizika pro malé a střední podniky (SMB)

Ačkoli SMBobvykle nejsou primárním cílem útoků typu wiper, mohou být zasaženy jako vedlejší škody nebo prostřednictvím útoků na dodavatelský řetězec. Poskytovatelé řízených služeb (MSPs), kteří poskytují služby větším organizacím, mohou být také terčem útoků s cílem získat přístup do sítí svých klientů.

Detekce a prevence

•Používejte kvalitní kybernetický bezpečnostní software, například bezpečnostní řešení ESET (Produkty ESET), který odhalí a zablokuje malware wiper.

•Zavedení neustálého monitorování sítě za účelem identifikace neobvyklých aktivit.

•Blokování neoprávněného přístupu ke kritickým systémům.

•Mějte zavedenou účinnou strategii zálohování a obnovy a zajistěte, aby byly zálohy uloženy v režimu offline nebo v bezpečném cloudovém prostředí.

•Pokud je zjištěn wiper, okamžitě ukončete postižené procesy a odpojte systém od sítě, pokud je to bezpečné.

Akce po infekci

Obnovení dat může být v případě infekce wipery nemožné, protože malware je navržen tak, aby data nebylo možné obnovit. Zásadní je však izolovat postižený systém a zabránit jeho dalšímu šíření. Často je nutné obnovit systém z čistých záloh.