Стеклоочиститель

Вайпер — это вредоносное ПО, предназначенное для уничтожения данных и вывода систем из строя. В отличие от других вредоносных программ, которые могут красть или шифровать данные, вайперы стремятся безвозвратно удалять или повреждать файлы, делая их невосстановимыми. Кибервойны и спонсируемые государством злоумышленники часто используют дворники для саботажа критически важной инфраструктуры, срыва операций или ведения психологической войны.

Характеристики

•Целенаправленные и преднамеренные — атаки Wiper тщательно планируются, на подготовку часто уходят месяцы и обычно нацелены на конкретные организации или инфраструктуры.

•Деструктивные методы — Вайперы уничтожают данные, перезаписывая файлы нулями или случайными данными или частично повреждая документы, делая системы неработоспособными.

•Воздействие на всю сеть — некоторые стеклоочистители предназначены для распространения по сетям, воздействуя на отдельные устройства и сети всей организации.

•Ложные флаги — злоумышленники могут оставлять ложные индикаторы, чтобы ввести в заблуждение следователей или переложить вину на другие организации.

•Мотивация — Основными мотивами атак со стеклоочистителями являются уничтожение доказательств, демонстрация силы в геополитических конфликтах и подрыв морального духа целевых объектов.

Примеры

•HermeticWiper— использовался в атаках на украинские организации в рамках более широкой кампании во время российского вторжения.

•CaddyWiper— еще один дворник, развернутый в Украине и нацеленный на различные организации.

•Industroyer2— сложный стеклоочиститель, нацеленный на промышленные системы управления, используемые в атаках на энергосистему Украины.

•(Не)Петя...Разрушительный вайпер, который затронул Украину и распространился по всему миру, первоначально замаскированный под программы-вымогатели.

•Олимпийский разрушитель— использовался командой Sandworm для срыва зимних Олимпийских игр 2018 года в Южной Корее.

•Stuxnet— хотя он в первую очередь известен тем, что нацелен на промышленные системы управления, он нанес значительный физический ущерб центрифугам на иранском ядерном объекте в Натанзе, задержав его ядерную программу.

•Shamoon— использовавшийся в 2012 и 2016 годах против саудовских энергетических компаний, Shamoon перезаписал файлы символическими изображениями.

Риски для малого и среднего бизнеса (МСБ)

Несмотря на то, что малые и средние предприятияобычно не являются основными целями атак со стеклоочистителями, они могут быть затронуты в качестве сопутствующего ущерба или в результате атак на цепочку поставок. Поставщики управляемых услуг (MSP), обслуживающие крупные организации, также могут стать мишенью для получения доступа к сетям своих клиентов.

Обнаружение и предотвращение

•Используйте высококачественное программное обеспечение для кибербезопасности, такое как решения ESET для обеспечения безопасности (продукты ESET), для обнаружения и блокировки вредоносных программ.

•Осуществляйте постоянный мониторинг сети для выявления необычных действий.

•Блокируйте несанкционированный доступ к критически важным системам.

•Разработайте эффективную стратегию резервного копирования и восстановления, гарантируя, что резервные копии хранятся в автономном режиме или в защищенных облачных средах.

•При обнаружении стеклоочистителя немедленно выключите затронутые процессы и отключите систему от сети, если это безопасно.

Действия после заражения

Восстановление данных при заражении вайпером может быть невозможным, поскольку вредоносное ПО разработано таким образом, чтобы сделать данные невосстановимыми. Тем не менее, решающее значение имеет изоляция пораженной системы и предотвращение дальнейшего распространения. Часто требуется перестроение системы из чистых резервных копий.