Wiper

Un wiper è un malware progettato per distruggere i dati e rendere i sistemi inutilizzabili. A differenza di altri malware che possono rubare o crittografare i dati, i wiper mirano a eliminare o corrompere definitivamente i file, rendendoli irrecuperabili. La guerra informatica e gli attori delle minacce sponsorizzati dallo stato utilizzano spesso i wiper per sabotare le infrastrutture critiche, interrompere le operazioni o condurre una guerra psicologica.

Caratteristiche

•Mirati e premeditati: gli attacchi wiper sono pianificati con cura, spesso richiedono mesi per essere preparati e in genere prendono di mira organizzazioni o infrastrutture specifiche.

•Metodi distruttivi: i wiper distruggono i dati sovrascrivendo i file con zeri o dati casuali o danneggiando parzialmente i documenti, rendendo i sistemi non funzionanti.

•Impatto a livello di rete: alcuni wiper sono progettati per diffondersi attraverso le reti, interessando singoli dispositivi e intere reti organizzative.

•False flag: gli aggressori possono lasciare falsi indicatori per fuorviare gli investigatori o scaricare la colpa su altre entità.

•Motivazioni: le motivazioni principali alla base degli attacchi wiper includono la distruzione di prove, la dimostrazione di potere nei conflitti geopolitici e lo scuotimento del morale delle entità prese di mira.

Esempi

•Wiper ermetico—Utilizzato negli attacchi alle organizzazioni ucraine, parte di una campagna più ampia durante l'invasione russa.

•CaddyWiper: un altro wiper schierato in Ucraina, rivolto a varie organizzazioni.

•Industroyer2: un sofisticato wiper mirato ai sistemi di controllo industriale utilizzati negli attacchi alla rete elettrica dell'Ucraina.

•(Non)Petya—Un wiper distruttivo che ha colpito l'Ucraina e si è diffuso a livello globale, inizialmente mascherato da ransomware.

•Distruttore Olimpico: utilizzato dalla squadra Sandworm per interrompere le Olimpiadi invernali del 2018 in Corea del Sud.

•Sebbenesia noto principalmente per aver preso di mira i sistemi di controllo industriale, ha causato danni fisici significativi alle centrifughe dell'impianto nucleare iraniano di Natanz, ritardando il suo programma nucleare.

•Shamoon– Utilizzato nel 2012 e nel 2016 contro le compagnie energetiche saudite, Shamoon ha sovrascritto i file con immagini simboliche.

Rischio per le piccole e medie imprese (PMI)

Sebbene le PMInon siano solitamente gli obiettivi principali degli attacchi wiper, possono essere colpite come danni collaterali o attraverso attacchi alla catena di approvvigionamento. Anche i fornitori di servizi gestiti (MSP che servono organizzazioni più grandi possono essere presi di mira per ottenere l'accesso alle reti dei loro clienti.

Rilevamento e prevenzione

•Utilizza software di sicurezza informatica di alta qualità, come le soluzioni di sicurezza ESET (prodotti ESET), per rilevare e bloccare il malware wiper.

•Implementa il monitoraggio costante della rete per identificare attività insolite.

•Blocca l'accesso non autorizzato ai sistemi critici.

•Disporre di una strategia di backup e ripristino efficace, garantendo che i backup vengano archiviati offline o in ambienti cloud sicuri.

•Se viene rilevato un wiper, arrestare immediatamente i processi interessati e disconnettere il sistema dalla rete se è sicuro.

Azione dopo l'infezione

Il recupero dei dati potrebbe essere impossibile in un'infezione da wiper poiché il malware è progettato per rendere i dati irrecuperabili. Tuttavia, isolare il sistema interessato e prevenire un'ulteriore diffusione è fondamentale. Spesso è necessario ricostruire il sistema da backup puliti.