Vindusvisker

En visker er en skadelig programvare designet for å ødelegge data og gjøre systemer ubrukelige. I motsetning til annen skadelig programvare som kan stjele eller kryptere data, tar vindusviskere sikte på å permanent slette eller ødelegge filer, noe som gjør dem uopprettelige. Cyberkrigføring og statsstøttede trusselaktører bruker ofte vindusviskere for å sabotere kritisk infrastruktur, forstyrre operasjoner eller utføre psykologisk krigføring.

Egenskaper

•Målrettede og overlagte – Wiper-angrep er nøye planlagt, tar ofte måneder å forberede, og retter seg vanligvis mot spesifikke organisasjoner eller infrastrukturer.

•Destruktive metoder – Vindusviskere ødelegger data ved å overskrive filer med nuller eller tilfeldige data eller delvis skade dokumenter, noe som gjør systemene ufunksjonelle.

•Nettverksomfattende innvirkning – Noen vindusviskere er designet for å spre seg over nettverk, og påvirker individuelle enheter og hele organisasjonsnettverk.

•Falske flagg – Angripere kan legge igjen falske indikatorer for å villede etterforskere eller flytte skylden til andre enheter.

•Motivasjoner – De primære motivasjonene bak viskerangrep inkluderer å ødelegge bevis, demonstrere makt i geopolitiske konflikter og ryste moralen til målrettede enheter.

Eksempler

•HermeticWiper– Brukt i angrep på ukrainske organisasjoner, en del av en bredere kampanje under den russiske invasjonen.

•CaddyWiper– Nok en vindusvisker utplassert i Ukraina, rettet mot forskjellige organisasjoner.

•Industroyer2– En sofistikert visker rettet mot industrielle kontrollsystemer som brukes i angrep på Ukrainas strømnett.

•(Ikke)Petya—En destruktiv visker som rammet Ukraina og spredte seg globalt, opprinnelig forkledd som løsepengevirus.

•Olympic Destroyer– Brukt av Sandworm-teamet til å forstyrre vinter-OL 2018 i Sør-Korea.

•Stuxnet– Selv om det først og fremst er kjent for å målrette mot industrielle kontrollsystemer, forårsaket det betydelig fysisk skade på sentrifuger ved Irans atomanlegg i Natanz, og forsinket atomprogrammet.

•Shamoon – Shamoonble brukt i 2012 og 2016 mot saudiske energiselskaper, og overskrev filer med symbolske bilder.

Risiko for små og mellomstore bedrifter (SMB)

Selv om små og mellomstore bedriftervanligvis ikke er de primære målene for viskerangrep, kan de bli påvirket som følgeskader eller gjennom forsyningskjedeangrep. Administrerte tjenesteleverandører (MSP-er som betjener større organisasjoner kan også bli målrettet for å få tilgang til kundenes nettverk.

Deteksjon og forebygging

•Bruk cybersikkerhetsprogramvare av høy kvalitet, for eksempel ESETs sikkerhetsløsninger (ESET-produkter), for å oppdage og blokkere skadelig programvare for vindusvisker.

•Implementer konstant nettverksovervåking for å identifisere uvanlige aktiviteter.

•Blokker uautorisert tilgang til kritiske systemer.

•Ha en effektiv sikkerhetskopierings- og gjenopprettingsstrategi på plass, som sikrer at sikkerhetskopier lagres offline eller i sikre skymiljøer.

•Hvis en visker oppdages, må du umiddelbart slå av berørte prosesser og koble systemet fra nettverket hvis det er trygt.

Handling etter infeksjon

Datagjenoppretting kan være umulig i en wiperinfeksjon, da skadelig programvare er designet for å gjøre data uopprettelige. Det er imidlertid avgjørende å isolere det berørte systemet og forhindre ytterligere spredning. Det er ofte nødvendig å gjenoppbygge systemet fra rene sikkerhetskopier.