Склоочищувача

Склоочисник — це зловмисне програмне забезпечення, призначене для знищення даних і виведення систем з ладу. На відміну від інших шкідливих програм, які можуть викрадати або шифрувати дані, склоочисники мають на меті назавжди видалити або пошкодити файли, що робить їх неможливими для відновлення. Кібервійна та спонсоровані державою зловмисники часто використовують склоочисники для саботажу критичної інфраструктури, зриву операцій або ведення психологічної війни.

Характеристики

•Цілеспрямовані та навмисні — атаки Wiper ретельно сплановані, на підготовку часто потрібні місяці та зазвичай націлені на конкретні організації чи інфраструктури.

•Руйнівні методи — склоочисники знищують дані, перезаписуючи файли з нулями або випадковими даними або частково пошкоджуючи документи, роблячи системи неробочими.

•Вплив на всю мережу — деякі склоочисники призначені для поширення в різних мережах, впливаючи на окремі пристрої та цілі мережі організації.

•Фальшиві прапорці — зловмисники можуть залишати неправдиві індикатори, щоб ввести в оману слідчих або перекласти провину на інші організації.

•Мотивація — основні мотиви атак склоочисників включають знищення доказів, демонстрацію сили в геополітичних конфліктах і похитування морального духу цільових суб'єктів.

Приклади

•HermeticWiper— використовується в атаках на українські організації, що є частиною ширшої кампанії під час російського вторгнення.

•CaddyWiper— ще один склоочисник, розгорнутий в Україні, націлений на різні організації.

•Industroyer2— складний склоочисник, спрямований на промислові системи керування, який використовується під час атак на електромережу України.

•(Не)Петя —Руйнівний склоочисник, який вразив Україну та поширився по всьому світу, спочатку замаскований під програми-вимагачі.

•Олімпійський руйнівник— використовується командою «Піщаний черв'як» для зриву зимових Олімпійських ігор 2018 року в Південній Кореї.

•Stuxnet— хоча в першу чергу відомий тим, що націлений на промислові системи управління, він завдав значної фізичної шкоди центрифугам на іранському ядерному об'єкті в Натанзі, затримавши його ядерну програму.

•Shamoon— використовувався у 2012 та 2016 роках проти саудівських енергетичних компаній, Shamoon перезаписував файли із символічними зображеннями.

Ризик для малого та середнього бізнесу (МСБ)

Хоча малий та середній бізнесзазвичай не є основними цілями атак склоочисників, вони можуть постраждати як побічна шкода або через атаки на ланцюжок поставок. Постачальники керованих послуг (MSP), які обслуговують великі організації, також можуть бути націлені на отримання доступу до мереж своїх клієнтів.

Виявлення та профілактика

•Використовуйте високоякісне програмне забезпечення для кібербезпеки, як-от рішення ESET для безпеки (продукти ESET), щоб виявляти та блокувати зловмисне програмне забезпечення для склоочисників.

•Впроваджуйте постійний моніторинг мережі для виявлення незвичайних активностей.

•Блокувати несанкціонований доступ до критичних систем.

•Розробіть ефективну стратегію резервного копіювання та відновлення, забезпечивши зберігання резервних копій в автономному режимі або в безпечному хмарному середовищі.

•У разі виявлення склоочисника негайно вимкніть відповідні процеси та від'єднайте систему від мережі, якщо це безпечно.

Дія після зараження

Відновлення даних може бути неможливим під час зараження склоочисниками, оскільки зловмисне програмне забезпечення призначене для того, щоб зробити дані непридатними для відновлення. Однак ізоляція ураженої системи та запобігання подальшому поширенню має вирішальне значення. Часто виникає потреба перебудувати систему з чистих резервних копій.