Stierače

Wiper je malvér určený na zničenie údajov a znefunkčnenie systémov. Na rozdiel od iného škodlivého softvéru, ktorý môže ukradnúť alebo zašifrovať údaje, je cieľom stieracích programov trvalé odstránenie alebo poškodenie súborov, čím sa stanú neobnoviteľnými. Aktéri kybernetickej vojny a štátom sponzorovaných hrozieb často používajú stierače na sabotáž kritickej infraštruktúry, narušenie operácií alebo vedenie psychologickej vojny.

Charakteristika

•Cielené a vopred premyslené útoky - útoky typu Wiper sú starostlivo naplánované, ich príprava často trvá mesiace a zvyčajne sú zamerané na konkrétne organizácie alebo infraštruktúry.

•Ničivé metódy - stierače ničia údaje prepísaním súborov nulami alebo náhodnými údajmi alebo čiastočným poškodením dokumentov, čím znefunkčňujú systémy.

•Vplyv na celú sieť - niektoré stierače sú navrhnuté tak, aby sa šírili naprieč sieťami a ovplyvňovali jednotlivé zariadenia a celé organizačné siete.

•Falošné vlajky Útočníci môžu zanechať falošné indikátory, aby zavádzali vyšetrovateľov alebo presunuli vinu na iné subjekty.

•Motivácia - medzi hlavné motívy útokov typu wiper patrí ničenie dôkazov, demonštrácia moci v geopolitických konfliktoch a otrasenie morálky cieľových subjektov.

Príklady

•HermeticWiper-Používa sa pri útokoch na ukrajinské organizácie, ktoré sú súčasťou širšej kampane počas ruskej invázie.

•CaddyWiper Ďalší stierač nasadený na Ukrajine, zameraný na rôzne organizácie.

•Industroyer2-Sofistikovaný stierač zameraný na priemyselné riadiace systémy, ktorý sa používa pri útokoch na ukrajinskú energetickú sieť.

•(Ne)Petya-Ničivý wiper, ktorý zasiahol Ukrajinu a rozšíril sa celosvetovo, spočiatku maskovaný ako ransomvér.

•Olympic Destroyer-Používa ho tím Sandworm na narušenie zimných olympijských hier 2018 v Južnej Kórei.

•Stuxnet Hoci je známy predovšetkým tým, že sa zameriava na priemyselné riadiace systémy, spôsobil významné fyzické poškodenie centrifúg v iránskom jadrovom zariadení Natanz, čím zdržal jeho jadrový program.

•Shamoon V rokoch 2012 a 2016 bol použitý proti saudským energetickým spoločnostiam, pričom Shamoon prepísal súbory symbolickými obrázkami.

Riziko pre malé a stredné podniky (SMB)

Hoci SMBzvyčajne nie sú primárnym cieľom útokov typu wiper, môžu byť postihnuté ako vedľajšie škody alebo prostredníctvom útokov na dodávateľský reťazec. Poskytovatelia spravovaných služieb (MSPs), ktorí poskytujú služby väčším organizáciám, môžu byť tiež terčom útokov s cieľom získať prístup do sietí svojich klientov.

Zisťovanie a prevencia

•Používajte kvalitný softvér kybernetickej bezpečnosti, napríklad bezpečnostné riešenia spoločnosti ESET (Produkty ESET), na detekciu a blokovanie škodlivého softvéru wiper.

•Zavedenie neustáleho monitorovania siete s cieľom identifikovať neobvyklé aktivity.

•Blokovanie neoprávneného prístupu ku kritickým systémom.

•Majte zavedenú účinnú stratégiu zálohovania a obnovy a zabezpečte, aby boli zálohy uložené offline alebo v bezpečných cloudových prostrediach.

•Ak sa zistí stierač, okamžite vypnite postihnuté procesy a odpojte systém od siete, ak je to bezpečné.

Akcia po infekcii

Obnovenie údajov môže byť pri infekcii stieračom nemožné, pretože malvér je navrhnutý tak, aby sa údaje nedali obnoviť. Rozhodujúce je však izolovať postihnutý systém a zabrániť jeho ďalšiemu šíreniu. Často je potrebné obnoviť systém z čistých záloh.