Torkare

En torkare är en skadlig kod som är utformad för att förstöra data och göra system obrukbara. Till skillnad från annan skadlig programvara som kan stjäla eller kryptera data, syftar torkare till att permanent radera eller skada filer, vilket gör dem oåterkalleliga. Cyberkrigföring och statligt sponsrade hotaktörer använder ofta torkare för att sabotera kritisk infrastruktur, störa verksamheten eller bedriva psykologisk krigföring.

Karakteristika

•Riktade och överlagda – Wiper-attacker är noggrant planerade, tar ofta månader att förbereda och riktar sig vanligtvis mot specifika organisationer eller infrastrukturer.

•Destruktiva metoder – Torkare förstör data genom att skriva över filer med nollor eller slumpmässiga data eller delvis skada dokument, vilket gör att systemen inte fungerar.

•Nätverksomfattande påverkan – Vissa rensningar är utformade för att spridas över nätverk och påverka enskilda enheter och hela organisationens nätverk.

•Falska flaggor – Angripare kan lämna falska indikatorer för att vilseleda utredare eller flytta skulden till andra enheter.

•Motiveringar – De främsta motiven bakom wiperattacker är att förstöra bevis, demonstrera makt i geopolitiska konflikter och skaka om moralen hos de enheter som angrips.

Exempel

•HermeticWiper– Används i attacker mot ukrainska organisationer, en del av en bredare kampanj under den ryska invasionen.

•CaddyWiper– En annan torkare som används i Ukraina och riktar sig mot olika organisationer.

•Industroyer2– En sofistikerad torkare som riktar in sig på industriella styrsystem som används i attacker mot Ukrainas elnät.

•(Inte)Petya—En destruktiv vindrutetorkare som drabbade Ukraina och spred sig globalt, till en början förklädd till ransomware.

•Olympisk jagare– Används av Sandworm-teamet för att störa vinter-OS 2018 i Sydkorea.

•Stuxnet– Även om det främst är känt för att rikta in sig på industriella styrsystem, orsakade det betydande fysiska skador på centrifuger vid Irans kärntekniska anläggning i Natanz, vilket försenade dess kärnenergiprogram.

•Shamoon– Användes 2012 och 2016 mot saudiska energibolag, Shamoon skrev över filer med symboliska bilder.

Risk för små och medelstora företag (SMB)

Även om små och medelstora företagvanligtvis inte är de primära målen för wiper-attacker, kan de påverkas som oavsiktliga skador eller genom attacker i leveranskedjan. Managed Service Providers (MSP som betjänar större organisationer kan också vara måltavlor för att få tillgång till sina kunders nätverk.

Upptäckt och förebyggande

•Använd cybersäkerhetsprogramvara av hög kvalitet, t.ex. ESET:s säkerhetslösningar (ESET-produkter), för att upptäcka och blockera skadlig kod för torkare.

•Implementera konstant nätverksövervakning för att identifiera ovanliga aktiviteter.

•Blockera obehörig åtkomst till kritiska system.

•Ha en effektiv strategi för säkerhetskopiering och återställning på plats, vilket säkerställer att säkerhetskopior lagras offline eller i säkra molnmiljöer.

•Om en torkare upptäcks, stäng omedelbart av berörda processer och koppla bort systemet från nätverket om det är säkert.

Åtgärder efter infektion

Dataåterställning kan vara omöjlig i en torkarinfektion eftersom skadlig programvara är utformad för att göra data oåterkalleliga. Det är dock mycket viktigt att isolera det drabbade systemet och förhindra ytterligare spridning. Att bygga om systemet från rena säkerhetskopior är ofta nödvändigt.