Wycieraczki

Wycieraczka to złośliwe oprogramowanie zaprojektowane w celu niszczenia danych i uniemożliwiania działania systemów. W przeciwieństwie do innego złośliwego oprogramowania, które może kraść lub szyfrować dane, wycieraczki mają na celu trwałe usunięcie lub uszkodzenie plików, czyniąc je niemożliwymi do odzyskania. Cyberwojna i sponsorowani przez państwo cyberprzestępcy często używają wycieraczek do sabotażu infrastruktury krytycznej, zakłócania operacji lub prowadzenia wojny psychologicznej.

Charakterystyka

•Ukierunkowane i z premedytacją – ataki Wiper są starannie zaplanowane, często trwają miesiące i zazwyczaj są wymierzone w konkretne organizacje lub infrastrukturę.

•Metody destrukcyjne — Wycieraczki niszczą dane, nadpisując pliki zerami lub losowymi danymi lub częściowo uszkadzając dokumenty, powodując, że systemy nie działają.

•Wpływ na całą sieć — niektóre wycieraczki są zaprojektowane tak, aby rozprzestrzeniały się w sieciach, wpływając na poszczególne urządzenia i całe sieci organizacji.

•Fałszywe flagi — osoby atakujące mogą pozostawiać fałszywe wskaźniki, aby zmylić śledczych lub zrzucić winę na inne podmioty.

•Motywacje — główne motywacje stojące za atakami typu wiper obejmują niszczenie dowodów, demonstrowanie siły w konfliktach geopolitycznych i wstrząsanie morale atakowanych podmiotów.

Przykłady

•HermeticWiper– używany w atakach na ukraińskie organizacje, część szerszej kampanii podczas rosyjskiej inwazji.

•CaddyWiper– kolejna wycieraczka zainstalowana na Ukrainie, wymierzona w różne organizacje.

•Industroyer2— Wyrafinowana wycieraczka atakująca przemysłowe systemy sterowania wykorzystywana w atakach na ukraińską sieć energetyczną.

•(Nie)Petya—Destrukcyjna wycieraczka, która zaatakowała Ukrainę i rozprzestrzeniła się na całym świecie, początkowo zamaskowana jako oprogramowanie ransomware.

•Niszczyciel Olimpijski– używany przez drużynę Sandworm do zakłócenia Zimowych Igrzysk Olimpijskich 2018 w Korei Południowej.

•Stuxnet– choć znany głównie z atakowania przemysłowych systemów kontroli, spowodował znaczne fizyczne uszkodzenia wirówek w irańskim ośrodku nuklearnym w Natanz, opóźniając program nuklearny Iranu.

•Shamoon– używany w 2012 i 2016 roku przeciwko saudyjskim firmom energetycznym, Shamoon nadpisywał pliki symbolicznymi obrazami.

Ryzyko dla małych i średnich firm (SMB)

Chociaż małe i średnie firmyzwykle nie są głównymi celami ataków typu wiper, mogą one zostać dotknięte jako szkody uboczne lub poprzez ataki na łańcuch dostaw. Dostawcy usług zarządzanych (MSP obsługujący większe organizacje mogą również być celem uzyskania dostępu do sieci swoich klientów.

Wykrywanie i zapobieganie

•Korzystaj z wysokiej jakości oprogramowania do cyberbezpieczeństwa, takiego jak rozwiązania zabezpieczające ESET (produkty ESET), aby wykrywać i blokować złośliwe oprogramowanie typu wiper.

•Wdrażaj stałe monitorowanie sieci w celu identyfikowania nietypowych działań.

•Blokuj nieautoryzowany dostęp do krytycznych systemów.

•Stosuj skuteczną strategię tworzenia kopii zapasowych i odzyskiwania danych, zapewniając, że kopie zapasowe są przechowywane w trybie offline lub w bezpiecznych środowiskach chmurowych.

•Jeśli zostanie wykryta wycieraczka, natychmiast zamknij procesy, których dotyczy problem, i odłącz system od sieci, jeśli jest bezpieczny.

Działanie po zakażeniu

Odzyskanie danych może być niemożliwe w przypadku infekcji wiper, ponieważ złośliwe oprogramowanie ma na celu uniemożliwienie odzyskania danych. Jednak odizolowanie zaatakowanego systemu i zapobieżenie dalszemu rozprzestrzenianiu się ma kluczowe znaczenie. Często konieczne jest odbudowanie systemu z czystych kopii zapasowych.