Złośliwe oprogramowanie (malware), o którym tak często wspominamy na naszym blogu, to jedno z najpoważniejszych zagrożeń, które może prowadzić do ogromnych strat finansowych i reputacyjnych w przedsiębiorstwach.
Wśród różnych form malware, takich jak trojany czy ransomware, wyróżnia się pewien specyficzny rodzaj złośliwego oprogramowania – wiper. Moim zdaniem jest to samiec alfa w swoim stadzie. Jego głównym celem nie jest bowiem pozyskiwanie danych czy wymuszenie okupu, lecz kompletna destrukcja danych na urządzeniu ofiary.
Od początku – czym jest wiper?
Wiper jest złośliwym oprogramowaniem, które zostało zaprojektowane w celu trwałego niszczenia danych na zainfekowanych urządzeniach. W odróżnieniu od klasycznego ransomware, które tylko szyfruje dane i żąda okupu za ich odzyskanie, wiper nie daje absolutnie żadnej szansy na przywrócenie danych po zakończeniu swojego działania. Po jego ataku dane są nadpisywane, usuwane lub zostają uszkodzone w taki sposób, że ich odzyskanie jest niemożliwe.
Popularne przypadki użycia wipera, takie jak Shamoon, NotPetya czy Olympic Destroyer, pokazują nam, że to narzędzie może być doskonale wykorzystywane w celach sabotażu, czy cyberwojny. Te przykłady dobitnie podkreślają, jak groźne jest to oprogramowanie, zwłaszcza w kontekście ataków na infrastruktury krytyczne, takie jak sektor medyczny energetyka, transport czy sektor finansowy.
Zasada działania wipera:
Mechanizm działania wipera opiera się na niszczeniu danych w trwały sposób. W zależności od konkretnego rodzaju wipera, może on nadpisywać dane na dysku, usuwać pliki systemowe czy modyfikować strukturę plików w sposób całkowicie uniemożliwiający ich odczytanie, a nawet trwale usuwać lub uszkadzać kopie zapasowe danych. W niektórych przypadkach wiper może również uniemożliwić uruchomienie systemu operacyjnego, co sumarycznie prowadzi do całkowitej utraty funkcjonalności urządzenia.
Wiper może rozprzestrzeniać się na różne sposoby. Korzystając z kilku popularnych sposobów, mogą one być dostarczane przez phishingowe wiadomości e-mail, za pośrednictwem zainfekowanych stron internetowych lub przez wykorzystanie luk w zabezpieczeniach danego oprogramowania. Niektóre wipery są również w stanie rozprzestrzeniać się automatycznie w sieciach komputerowych jak klocki domino, infekując kolejne urządzenia i niszcząc dane na szeroką skalę.
Jednym z najbardziej znanych przypadków działania wipera jest atak NotPetya z roku 2017. Początkowo był uważany za atak ransomware, NotPetya szybko okazał się być wiperem, którego głównym celem było niszczenie danych w urządzeniach na całym świecie. Atak ten sparaliżował działalność wielu przedsiębiorstw, w tym dużych firm logistycznych, banków oraz koncernów energetycznych.
Kolejnym znanym atakiem tego typu był incydent, który dotknął firmę Sony. Według władz USA za atakiem stała północnokoreańska grupa „haktywistów”, działająca pod nazwą #GOP (Guardians of Peace). Atak miał na celu osiągnięcie celów politycznych, a jednym z postulatów grupy było wycofanie z dystrybucji filmu „The Interview”, który kpił z północnokoreańskiego przywódcy. Mimo podejrzeń dotyczących sprawców, ostatecznie nie udało się jednoznacznie ustalić ich tożsamości.
Skutki ataków z użyciem wipera:
Jak już wspomniałem – ataki z użyciem wiperów (i każdego rodzaju malware) mogą mieć katastrofalne skutki dla organizacji oraz całych sektorów gospodarki. Przykłady, takie jak wspomniany NotPetya pokazują, że koszty związane z takim atakiem mogą sięgać miliardów dolarów. Przedsiębiorstwa dotknięte atakiem przez wipery mogą stracić krytyczne dane, co prowadzi do przerw w działalności, utraty reputacji oraz konieczności poniesienia ogromnych kosztów finansowych związanych z odbudową systemów informatycznych.
Myślę, że to całkiem niezły dowód na to, że nie warto oszczędzać na cyberbezpieczeństwie.
Oprócz skutków finansowych, atak z użyciem wipera może mieć również poważne konsekwencje społeczne i polityczne. Wiper może być używany jako narzędzie cyberwojny, mające na celu destabilizację przeciwnika. Przykładem jest atak Olympic Destroyer, który miał na celu zakłócenie Zimowych Igrzysk Olimpijskich w Pjongczangu w 2018 roku. Choć finalnie nie doprowadził on do tragicznych konsekwencji, pokazał i dał namiastkę tego, jak groźne mogą być ataki z użyciem wipera, zwłaszcza gdy są skierowane w stronę infrastruktury krytyczną.
Jak się chronić przed wiperem?
Ze względu na niszczycielski charakter tego samca alfa, ochrona przed nimi jest szczególnie ważna
Najważniejszym elementem zabezpieczenia się przed wiperami jest regularne tworzenie kopii zapasowych danych. Ważne jest jednak, aby te kopie były przechowywane w sposób odizolowany od reszty systemów, aby uniknąć ich usunięcia lub uszkodzenia przez wipera. Bardzo ważne jest tutaj zastosowanie zasady backupu 3-2-1 (3 oddzielne kopie, na dwóch oddzielnych nośnikach, z czego jedna w innej lokalizacji).
Kolejnym ważnym aspektem jest segmentacja sieci. Dzięki podziałowi sieci na mniejsze segmenty, możemy ograniczyć zasięg rozprzestrzeniania się wipera w przypadku jego wykrycia. Musimy również stosować oprogramowanie antywirusowe oraz systemy detekcji intruzów (IDS/IPS), często już zawarte w urządzeniach UTM, które mogą pomóc w wykryciu i zatrzymaniu wipera przed zniszczeniem danych. Do kompletu świetnie sprawdzą się również narzędzia jak EDR oraz NDR.
Dodatkowo, jak zwykle – najlepszy antywirus to własna głowa. Dlatego edukacja użytkowników oraz pracowników jest podstawą w zapobieganiu atakom. Wiele wiperów dostaje się do systemów za pośrednictwem phishingowych e-maili lub zainfekowanych załączników. Dlatego regularne szkolenia dotyczące cyberbezpieczeństwa mogą znacząco zmniejszyć ryzyko ataku.
Dla naszej firmy zapobieganie atakom malware to chleb powszedni. Jeśli chcesz, aby Twoje przedsiębiorstwo było bezpieczne – zgłoś się na bezpłatną konsultację dotyczącą cyberbezpieczeństwa!
Kontakt:
Kamil Brandys – Opiekun Klienta Kluczowego
tel.: 887 104 700
e-mail:
lub
Sebastian Komor – Opiekun Klienta Kluczowego
tel.: 606 836 070
e-mail:
Wróć