Visker

En visker er en malware designet til at ødelægge data og gøre systemer ubrugelige. I modsætning til anden malware, der kan stjæle eller kryptere data, sigter wipere mod permanent at slette eller ødelægge filer, hvilket gør dem uoprettelige. Cyberkrigsførelse og statsstøttede trusselsaktører bruger ofte vinduesviskere til at sabotere kritisk infrastruktur, forstyrre operationer eller føre psykologisk krigsførelse.

Karakteristika

•Målrettede og overlagte – Wiper-angreb er nøje planlagt, tager ofte måneder at forberede og er typisk rettet mod specifikke organisationer eller infrastrukturer.

•Destruktive metoder – Vinduesviskere ødelægger data ved at overskrive filer med nuller eller tilfældige data eller delvist beskadige dokumenter, hvilket gør systemerne ufunktionelle.

•Netværksdækkende effekt – Nogle vinduesviskere er designet til at sprede sig på tværs af netværk og påvirke individuelle enheder og hele organisatoriske netværk.

•Falske flag – Angribere kan efterlade falske indikatorer for at vildlede efterforskere eller flytte skylden til andre enheder.

•Motivationer – De primære motiver bag wiper-angreb inkluderer at ødelægge beviser, demonstrere magt i geopolitiske konflikter og ryste moralen hos målrettede enheder.

Eksempler

•HermeticWiper– Brugt i angreb på ukrainske organisationer, en del af en bredere kampagne under den russiske invasion.

•CaddyWiper– Endnu en visker, der er indsat i Ukraine, rettet mod forskellige organisationer.

•Industroyer2– En sofistikeret visker, der er rettet mod industrielle kontrolsystemer, der bruges i angreb på Ukraines elnet.

•(Ikke)Petya—En destruktiv visker, der ramte Ukraine og spredte sig globalt, oprindeligt forklædt som ransomware.

•Olympic Destroyer– Brugt af Sandworm-holdet til at forstyrre vinter-OL 2018 i Sydkorea.

•Stuxnet– Selvom det primært er kendt for at angribe industrielle kontrolsystemer, forårsagede det betydelig fysisk skade på centrifuger på Irans atomanlæg i Natanz, hvilket forsinkede dets atomprogram.

•Shamoon– Brugt i 2012 og 2016 mod saudiske energiselskaber, overskrev Shamoon filer med symbolske billeder.

Risici for små og mellemstore virksomheder (SMB'er)

Selvom små og mellemstore virksomhedernormalt ikke er de primære mål for wiperangreb, kan de blive påvirket som følgeskader eller gennem forsyningskædeangreb. Managed Service Providers (MSP'er), der betjener større organisationer, kan også være målrettet for at få adgang til deres kunders netværk.

Opdagelse og forebyggelse

•Brug cybersikkerhedssoftware af høj kvalitet, f.eks. ESET-sikkerhedsløsninger (ESET-produkter), til at registrere og blokere viskermalware.

•Implementer konstant netværksovervågning for at identificere usædvanlige aktiviteter.

•Bloker uautoriseret adgang til kritiske systemer.

•Hav en effektiv backup- og gendannelsesstrategi på plads, der sikrer, at sikkerhedskopier gemmes offline eller i sikre cloud-miljøer.

•Hvis der registreres en visker, skal du straks lukke de berørte processer og afbryde systemet fra netværket, hvis det er sikkert.

Handling efter infektion

Datagendannelse kan være umulig i en viskerinfektion, da malwaren er designet til at gøre data uoprettelige. Det er dog afgørende at isolere det berørte system og forhindre yderligere spredning. Det er ofte nødvendigt at genopbygge systemet fra rene sikkerhedskopier.