Ablaktörlő

Az ablaktörlő egy rosszindul atú program, amelynek célja az adatok megsemmisítése és a rendszerek működésképtelenné tétele. Más rosszindulatú programokkal ellentétben, amelyek ellophatják vagy titkosíthatják az adatokat, az ablaktörlők célja a fájlok végleges törlése vagy megsértése, így azok helyreállíthatatlanok. A kiberhadviselés és az állam által támogatott fenyegetési szereplők gyakran használnak ablaktörlőt a kritikus infrastruktúra szabotálására, a műveletek megzavarására vagy a pszichológiai hadviselés folytatására

Jellemzők

•Célzott és előre megtervezett — Az ablaktörlő támadásokat gondosan megtervezték, előkészítése gyakran hónapokig tart, és jellemzően bizonyos szervezeteket vagy infrastruktúrákat célozzák meg.

•Megsemmisítő módszerek — Az ablaktörlők elpusztítják az adatokat azáltal, hogy felülírják a nullákat vagy véletlenszerű adatokat tartalmazó fájlokat, vagy részben károsítják a dokumentumokat, így a rendszerek

•Hálózat egészére kiterjedő hatás — Egyes ablaktörlőket úgy terveztek, hogy hálózatokon keresztül terjedjenek, és hatással vannak az egyes eszközökre és a teljes szervezeti hálózatokra.

•Hamis zászlók — A támadók hamis mutatókat hagyhatnak, hogy félrevezessék a nyomozókat, vagy más szervezetekre helyezzék a hibáztatást.

•Motivációk — Az ablaktörlő támadások mögött meghúzódó elsődleges motivációk közé tartozik a bizonyítékok megsemmisítése, a geopolitikai konfliktusokban való hatalom bemutatása és a célzott entitások moráljának megrázása.

Példák

•HermeticWiper— Az ukrán szervezetek elleni támadásokban használták, amely egy szélesebb kampány része az orosz invázió idején.

•CaddyWiper - Egy másik ablaktörlő Ukrajnában telepítve, különböző szervezeteket célzó.

•Industroyer2— Kifinomult ablaktörlő, amely az ukrán elektromos hálózat elleni támadásokban használt ipari vezérlőrendszereket célozza meg.

•(Nem) Petya - Egy pusztító törlő, amely Ukrajnát érintette és világszerte elterjedt, kezdetben zsarolóprogramnak álcázva.

•Olimpiai romboló— A homokféreg csapata használja a 2018-as dél-koreai téli olimpiai játékok megzavarására.

•Stuxnet — Noha elsősorban az ipari vezérlőrendszerek célzásáról ismert, jelentős fizikai károkat okozott az iráni Natanzi nukleáris létesítmény centrifugáiban, késleltetve nukleáris programját.

•Shamoon— 2012-ben és 2016-ban a szaúdi energiavállalatok ellen használt Shamoon szimbolikus képekkel felülírta a fájlokat.

Kockázat a kis- és középvállalkozások (kkv-k) számára

Bár a kkv-k általában nem az ablaktörlő támadások elsődleges célpontjai, mellékkárosodásként vagy ellátási lánc támadásaival érinthetők. A nagyobb szervezeteket kiszolgáló felügyelt szolgáltatók (MSP is megcélozhatják ügyfeleik hálózataihoz való hozzáférést.

Felismerés és megelőzés

•Használjon kiváló minőségű kiberbiztonsági szoftvereket, például az ESET biztonsági megoldásokat (ESET Products) az ablaktörlő rosszindulatú programok észleléséhez és blokkolásához.

•Folyamatos hálózati monitorozás végrehajtása a szokatlan tevékenységek azonosítása érdekében.

•A kritikus rendszerekhez való jogosulatlan hozzáférés blokkolása.

•Használjon hatékony biztonsági mentési és helyreállítási stratégiát, amely biztosítja, hogy a biztonsági mentések offline vagy biztonságos felhőkörnyezetben tárolódjanak.

•Ha ablaktörlőt észlel, azonnal állítsa le az érintett folyamatokat, és húzza ki a rendszert a hálózatról, ha biztonságos.

A fertőzés utáni cselekvés

Az adatok helyreállítása lehetetlen lehet egy törlőfertőzés esetén, mivel a rosszindul atú programot úgy tervezték, hogy az adatok helyreállíthatatlanok legyenek. Az érintett rendszer elkülönítése és a további terjedés megakadályozása azonban kulcsfontosságú. Gyakran szükséges a rendszer újjáépítése tiszta biztonsági másolatokból.