Valytuvas

Valytuvas yra kenkėjiška programa, skirta sunaikinti duomenis ir padaryti sistemas neveikiančias. Skirtingai nuo kitų kenkėjiškų programų, kurios gali pavogti ar užšifruoti duomenis, valytuvai siekia visam laikui ištrinti arba sugadinti failus, kad jie būtų neatkuriami. Kibernetinis karas ir valstybės remiami grėsmių veikėjai dažnai naudoja valytuvus, kad sabotuotų kritinę infrastruktūrą, sutrikdytų operacijas ar vykdytų psichologinį karą.

Charakteristikas

•Tikslinės ir iš anksto apgalvotos valytuvų atakos yra kruopščiai suplanuotos, jų paruošimas dažnai užtrunka mėnesius ir paprastai taikomos konkrečioms organizacijoms ar infrastruktūroms.

•Destruktyvūs metodai – valytuvai sunaikina duomenis perrašydami failus nuliais ar atsitiktiniais duomenimis arba iš dalies sugadindami dokumentus, todėl sistemos tampa nefunkcionalios.

•Poveikis visam tinklui – kai kurie valytuvai sukurti taip, kad pasklistų po tinklus ir paveiktų atskirus įrenginius bei visus organizacijos tinklus.

•Klaidingos vėliavėlės – užpuolikai gali palikti klaidingus indikatorius, kad suklaidintų tyrėjus arba perkeltų kaltę kitiems subjektams.

•Motyvacija - Pagrindiniai valytuvų atakų motyvai yra įrodymų sunaikinimas, galios demonstravimas geopolitiniuose konfliktuose ir tikslinių subjektų moralės supurtymas.

Pavyzdžiai

•"HermeticWiper"- naudojamas išpuoliuose prieš Ukrainos organizacijas, platesnės kampanijos dalis Rusijos invazijos metu.

•CaddyWiper- Kitas valytuvas, dislokuotas Ukrainoje, nukreiptas į įvairias organizacijas.

•"Industroyer2 - sudėtingas valytuvas, nukreiptas į pramonines valdymo sistemas, naudojamas atakose prieš Ukrainos elektros tinklą.

•(Ne)Petya—Destruktyvus valytuvas, paveikęs Ukrainą ir išplitęs visame pasaulyje, iš pradžių užmaskuotas kaip išpirkos reikalaujanti programinė įranga.

•Olimpinis naikintuvas- Naudojamas "Sandworm" komandos, kad sutrikdytų 2018 m. Žiemos olimpines žaidynes Pietų Korėjoje.

•"Stuxnet - nors pirmiausia žinomas dėl to, kad nukreiptas į pramonines valdymo sistemas, jis padarė didelę fizinę žalą centrifugoms Irano Natanzo branduoliniame objekte, atidėdamas jo branduolinę programą.

•"Shamoon - Naudojamas 2012 ir 2016 m. prieš Saudo Arabijos energetikos įmones, "Shamoon" perrašė failus simboliniais vaizdais.

Rizika mažosioms ir vidutinėms įmonėms (MVĮ)

Nors SVVpaprastai nėra pagrindiniai valytuvų atakų taikiniai, jie gali būti paveikti kaip papildoma žala arba per tiekimo grandinės atakas. Valdomų paslaugų teikėjai (MSPs), aptarnaujantys didesnes organizacijas, taip pat gali būti nukreipti į prieigą prie savo klientų tinklų.

Aptikimas ir prevencija

•Naudokite aukštos kokybės kibernetinio saugumo programinę įrangą, pvz., ESET saugos sprendimus (ESET produktus), kad aptiktumėte ir blokuotumėte valytuvų kenkėjiškas programas.

•Įdiekite nuolatinį tinklo stebėjimą, kad nustatytumėte neįprastą veiklą.

•Blokuoti neteisėtą prieigą prie kritinių sistemų.

•Turėkite veiksmingą atsarginių kopijų kūrimo ir atkūrimo strategiją, užtikrinančią, kad atsarginės kopijos būtų saugomos neprisijungus arba saugioje debesies aplinkoje.

•Jei aptinkamas valytuvas, nedelsdami išjunkite paveiktus procesus ir atjunkite sistemą nuo tinklo, jei ji yra saugi.

Veiksmai po infekcijos

Duomenų atkūrimas gali būti neįmanomas užsikrėtus valytuvais, nes kenkėjiška programa sukurta taip, kad duomenys būtų neatkuriami. Tačiau labai svarbu izoliuoti paveiktą sistemą ir užkirsti kelią tolesniam plitimui. Dažnai reikia atkurti sistemą iš švarių atsarginių kopijų.