Ruitenwisser

Een wisser is een malware die is ontworpen om gegevens te vernietigen en systemen onbruikbaar te maken. In tegenstelling tot andere malware die gegevens kan stelen of versleutelen, zijn wisprogramma's bedoeld om bestanden permanent te verwijderen of te beschadigen, waardoor ze niet meer kunnen worden hersteld. Cyberoorlogvoering en door de staat gesponsorde dreigingsactoren gebruiken wipers vaak om kritieke infrastructuur te saboteren, operaties te verstoren of psychologische oorlogsvoering uit te voeren.

Kenmerken

•Gericht en met voorbedachten rade: Wiper-aanvallen worden zorgvuldig gepland, nemen vaak maanden in beslag en zijn meestal gericht op specifieke organisaties of infrastructuren.

•Destructieve methoden—Wissers vernietigen gegevens door bestanden te overschrijven met nullen of willekeurige gegevens of documenten gedeeltelijk te beschadigen, waardoor systemen niet meer functioneren.

•Netwerkbrede impact: sommige wisapparaten zijn ontworpen om zich over netwerken te verspreiden, met gevolgen voor individuele apparaten en hele organisatienetwerken.

•Valse vlaggen - Aanvallers kunnen valse indicatoren achterlaten om onderzoekers te misleiden of de schuld af te schuiven op andere entiteiten.

•Motivaties - De belangrijkste motivaties achter wiper-aanvallen zijn onder meer het vernietigen van bewijsmateriaal, het demonstreren van macht in geopolitieke conflicten en het schudden van het moreel van gerichte entiteiten.

Voorbeelden

•HermeticWiper- Gebruikt bij aanvallen op Oekraïense organisaties, onderdeel van een bredere campagne tijdens de Russische invasie.

•CaddyWiper—Een andere wisser ingezet in Oekraïne, gericht op verschillende organisaties.

•Industroyer2—Een geavanceerde ruitenwisser gericht op industriële controlesystemen die worden gebruikt bij aanvallen op het Oekraïense elektriciteitsnet.

•(Niet) Petya—Een destructieve wisser die Oekraïne trof en zich wereldwijd verspreidde, aanvankelijk vermomd als ransomware.

•Olympische torpedobootjager- Gebruikt door het Sandworm Team om de Olympische Winterspelen van 2018 in Zuid-Korea te verstoren.

•Stuxnet- Hoewel het vooral bekend staat om het aanvallen van industriële controlesystemen, veroorzaakte het aanzienlijke fysieke schade aan centrifuges in de nucleaire faciliteit van Natanz in Iran, waardoor het nucleaire programma werd vertraagd.

•Shamoon– Gebruikt in 2012 en 2016 tegen Saoedische energiebedrijven, overschreef Shamoon bestanden met symbolische afbeeldingen.

Risico voor het midden- en kleinbedrijf (MKB)

Hoewel MKB'smeestal niet het primaire doelwit zijn van wiper-aanvallen, kunnen ze worden aangetast als nevenschade of door aanvallen op de toeleveringsketen. Managed Service Providers (MSP's die grotere organisaties bedienen, kunnen ook het doelwit zijn om toegang te krijgen tot de netwerken van hun klanten.

Detectie en preventie

•Gebruik hoogwaardige cyberbeveiligingssoftware, zoals ESET-beveiligingsoplossingen (ESET-producten), om wiper-malware te detecteren en te blokkeren.

•Implementeer constante netwerkmonitoring om ongebruikelijke activiteiten te identificeren.

•Blokkeer ongeoorloofde toegang tot kritieke systemen.

•Zorg voor een effectieve back-up- en herstelstrategie en zorg ervoor dat back-ups offline of in veilige cloudomgevingen worden opgeslagen.

•Als een wisser wordt gedetecteerd, sluit dan onmiddellijk de getroffen processen af en koppel het systeem los van het netwerk als het veilig is.

Actie na infectie

Gegevensherstel kan onmogelijk zijn bij een wisserinfectie, omdat de malware is ontworpen om gegevens onherstelbaar te maken. Het isoleren van het getroffen systeem en het voorkomen van verdere verspreiding is echter cruciaal. Het opnieuw opbouwen van het systeem op basis van schone back-ups is vaak noodzakelijk.