Nasazování malwaru wiper v roce 2022 stoupá, což je trend, který odhaluje znepokojivý vývoj destruktivnějších a sofistikovanějších útoků. Termín „wiper“ označuje nejzákladnější operaci malwaru, kterou je vymazání dat počítače oběti (data disku, operační systém nebo dokonce firmware). Wiper malware je šířeji označován jako škodlivý software, který se snaží smazat data.

Jedná se o silné útoky, pokud jde o škody které mohou způsobit, a proto je životně důležité mít nad takovým vývojem přehled. Se správným know-how a správnými nástroji mohou bezpečnostní týmy zajistit, že jsou v této bitvě posíleny.

Malware wiperů na vzestupu, podpořený rusko-ukrajinskou válkou

Útočníci v důsledku války na Ukrajině mnohem častěji používali malware pro mazání disku k cílení na životně důležitou infrastrukturu. V první polovině roku 2022 identifikovaly laboratoře FortiGuard nejméně sedm významných nových variant tohoto typu malwaru, které byly nasazeny v několika kampaních proti vládním, vojenským a komerčním institucím. Skutečnost, že se toto číslo tak blíží celkovému počtu variant wiperů, které byly objeveny od roku 2012, je relevantní – a znepokojující.

Mnoho členů bezpečnostní komunity se domnívá, že za mnoha útoky wiperů na Ukrajině v první polovině roku 2022 stály organizace podporující ruské vojenské cíle, i když ne vždy to dokázali s jistotou potvrdit. CaddyWiper je jedním příkladem, varianta, která byla použita krátce poté, co válka začala mazat data a informace o oddílech z disků v systémech patřících malému počtu ukrajinských organizací.

Mezi další iterace stěračů patří IsaacWiper, malwarový nástroj pro přepisování dat na diskových jednotkách a připojeném úložišti, aby byly nepoužitelné; WhisperGate, wiper, o kterém Microsoft zjistil, že byl používán při útocích proti ukrajinským subjektům v lednu 2022; a HermeticWiper, nástroj pro vyvolání selhání spouštění, který SentinelLabs zjistil, že se používá při podobných útocích. WhisperKill, DoubleZero a AcidRain byly další tři wipery, které jsme viděli v první polovině roku 2022, zaměřené na ukrajinské podniky a infrastrukturu.

Důsledky malwaru wiper

Bylo překvapivé vidět počet takových útoků, které se rozšířily i do jiných zemí, jak se to stalo v minulosti, když v regionu došlo k násilí. Od začátku konfliktu v únoru 2022 jsme našli více malwaru pro wipery v zahraničí než na Ukrajině. Během první poloviny letošního roku byla aktivita wiperů objevena ve 24 zemích kromě Ukrajiny.

Jedním z takových případů je AcidRain – wiper, který měl zamířit na ukrajinského poskytovatele satelitních širokopásmových služeb, ale byl také použit při útoku, který odstavil asi 6 000 větrných turbín v Německu. Útoky jako tyto ukazují schopnost překračovat hranice, ať už jsou geografické nebo související s IT/OT.

Neočekávaný nárůst malwaru wiperů je pro bezpečnostní týmy IT problematický. Ačkoli zatím nebylo mnoho detekcí, vlastnosti malwaru a způsob, jakým jej aktéři hrozeb nasazují, činí tuto kategorii obzvláště nebezpečnou, takže bezpečnostní týmy ji musí hledat.

Čtyři osvědčené postupy pro boj s hrozbou

Organizace mohou a měly by využívat řadu osvědčených postupů ke zmírnění účinků malwaru wiperů:

  • Segmentace: Efektivní segmentace sítě je užitečná několika způsoby. Může například omezit účinky útoku na určitou oblast sítě. Kromě toho mohou brány firewall identifikovat komunikaci se známými příkazovými a řídicími servery, pohyb škodlivých souborů v síti a šíření malwaru, pokud se používají ve spojení s antivirovými systémy a systémy prevence narušení.
  • Zálohování: Mít k dispozici zálohy je nejlepší obranou proti ransomwaru a virům wiperů. Malware často aktivně hledá zálohy v systému nebo v síti (například stínová kopie Windows), aby je mohl vymazat. Aby bylo možné odolat sofistikovaným útokům, musí být zálohy uchovávány offline a mimo pracoviště. Při diskuzi o zálohách je nutné poznamenat, že jejich existence je klíčová, ale také důkladný proces obnovy. Aby se zkrátily prostoje, musí tým IT navíc pravidelně procvičovat obnovu ze zálohy.
  • NDR: Aby se minimalizoval dopad útoků wiperů, je užitečná detekce a odezva sítě (NDR) s umělou inteligencí (AI) s automatickým učením, aby bylo možné lépe detekovat narušení.
  • Nácvik reakce na incident a penetrační testování: Účinnost reakce na incident, jak z hlediska rychlosti, tak kvality, může mít významný vliv na to, jak útok dopadne. Způsob, jakým tým pro reakci na incidenty zachází s útokem a jak na něj reaguje, může znamenat rozdíl mezi úspěšnou prevencí ztráty dat a úplným vymazáním dat v případě, že je proniknutí odhaleno před nasazením malwaru wiperů. Člověk by měl provádět pravidelná cvičení, aby pochopil schopnosti reagovat na tyto incidenty. Jak rychle se mohou týmy zotavit? Existují nějaké slabiny?
  • Plán obnovy po havárii: Jak dobře je organizace připravena na to, co se stane po nasazení wiperu v síti? Jaké postupy byly zavedeny pro kontinuitu podnikání bez IT? Jak bude organizace obnovovat data ze záloh a informovat zákazníky a veřejnost o incidentu? Všechny tyto taktiky je třeba určit před útokem. To vše a ještě více by měl specifikovat plán obnovy po havárii, který bude užitečný pod obrovským tlakem aktivního kompromisu.

Boj proti zločinu bez hranic

V první polovině roku 2022 jsme byli svědky nárůstu nasazení wiperů souběžně s rusko-ukrajinskou válkou. Ale tyto škodlivé kódy nezůstávají na jednom místě. Množí se po celém světě, protože skutečně neexistují žádné hranice, pokud jde o kyberzločinecké aktivity. To znamená, že musíte mít neustále aktuální informace o hrozbách a dodržovat osvědčené postupy, jako jsou ty, které jsou uvedeny výše. Ty pomohou předejít katastrofě vymazaného pevného disku.

 

Autor původního článku: Douglas Jose Pereira dos Santos
Překlad: Ondřej Strachota

Security News za listopad

Comguard neustále zpracovává a hledá bezpečnostní hrozby vyskytující se v české republice, aby mohl poskytovat rychlé a věcné informace pro české společnosti.

Google opravuje dvě zranitelnosti Androidu zneužité při cílených útocích

Google varuje před omezeným, cíleným zneužitím dvou zranitelností vyřešených nejnovější aktualizací zabezpečení Androidu.

Pozor na phishing! Nová vlna podvodů cílí i na Česko

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve středu 24.října 2024 vydal varování před rozsáhlou phishingovou kampaní, která cílí i na uživatele  v Česku.

Ochrana, na kterou se můžete spolehnout – Palo Alto Networks

V dnešním světě, kde kybernetické hrozby neustále rostou a jsou stále sofistikovanější, je bezpečnost firemních dat klíčová. Mnoho podniků si to uvědomuje až ve chvíli, kdy už je pozdě.

Jak vybrat vhodné zálohovací řešení pro vaši firmu: Srovnání zálohovacích systémů Veeam, Veritas, Acronis a Nakivo

Správně nastavené zálohovací řešení je pro každou firmu nezbytné, protože ztráta dat může vést k vážným finančním ztrátám, ztrátě důvěry klientů a v některých případech i k likvidaci firmy. V tomto článku si představíme čtyři hlavní zálohovací...

Zvýšené riziko kyberůtoku po návratu z dovolené. Otestujte svoje zaměstnance a zlepšete svou bezpečnost.

Léto skončilo a s návratem do práce přichází také zvýšené riziko kybernetických útoků. Kyberzločinci se často zaměřují na zaměstnance, kteří po dovolené povolí v ostražitosti. Právě teď je ten správný čas, abyste se ujistili, že váš tým je...