Віруси та черв’яки можуть бути найвідомішими типами шкідливих програм, але інші типи шкідливих програм також можуть завдати великої шкоди. Шкідливе програмне забезпечення для очищення Wiper – одне з них.
На відміну від програм-вимагачів, які утримують файли з метою отримання грошового викупу, шкідливі програми Wiper використовуються для видалення або непоправного пошкодження файлів. Це робить їх одними з найбільш руйнівних типів атак. У цій статті ми детально розглянемо, що таке шкідливе програмне забезпечення Wiper, як воно працює, якої шкоди завдає і як від нього захиститися.
Що таке шкідливе програмне забезпечення Wiper?
Шкідливі програми Wiper отримали свою назву за основною функцією – стирати файли з жорсткого диска. Базове визначення шкідливого програмного забезпечення Wiper – це будь-яке шкідливе програмне забезпечення, призначене для видалення файлів або знищення даних на пристрої, який воно атакує. Вони призначені для проникнення в системи і руйнування їх зсередини, видаляючи файли або назавжди блокуючи доступ до них. Ці атаки можуть вивести з ладу мережі та організації, позбавляючи їх можливості нормально працювати через неможливість отримати доступ до своїх даних.
Як працює шкідливе програмне забезпечення Wiper?
Щоб відповідати визначенню шкідливого програмного забезпечення Wiper, програма повинна видаляти, пошкоджувати або шифрувати цільові файли. Як бачите, це широка категорія шкідливих програм, і різні програми використовують різні методи для атаки на дані. Давайте розглянемо основні з них, які використовувалися в минулому.
Методи, що застосовуються шкідливими програмами Wiper
- Виявлення файлів: Шкідливе програмне забезпечення Wiper має проникнути в систему і працювати з жорсткими дисками, щоб виявити файли для атаки. Для нього важливо ідентифікувати файли за типом. За задумом зловмисника, він повинен завдати якомога більше шкоди, не атакуючи файли операційної системи. Якщо він спочатку атакує всі файли операційної системи або навіть випадковим чином, пристрій вийде з ладу до того, як цільові файли будуть успішно пошкоджені, і робота залишиться незавершеною. Тому більшість програм починають роботу з дисків і каталогів, які не належать до операційної системи, щоб якомога довше зберегти систему неушкодженою.
- Видалення (витирання) файлів: Видалення файлів – це найпростіший і найефективніший спосіб знищення потрібних файлів. Це економить час і обчислювальну потужність, роблячи атаку короткою і агресивною. Однак, оскільки файли лише позначаються як видалені, а не перезаписані, їх можна відновити шляхом криміналістичної експертизи вихідного диска.
- Атака на “майстрів”: Було виявлено, що деякі програми-шифрувальники атакують головний завантажувальний запис (MBR) комп’ютера, пошкоджуючи його, щоб унеможливити завантаження системи. Інші пошкоджують головну файлову таблицю (MFT), через що система не може знайти жодного файлу. Однак ці атаки не знищують власне файли – їх можна відновити.
- Перезапис файлів: В той час як видалення та пошкодження основних записів може залишити файли неушкодженими та відновлюваними, їх перезапис незворотній. Таку тактику використовують багато зловмисників, які перезаписують файли, а потім видаляють їх. Кожен файл може бути повністю або частково замінений нісенітницею або випадковим текстом, а потім збережений, таким чином знищуючи оригінали.
- Постійне шифрування файлів: Як і програми-вимагачі, деякі шкідливі програми Wiper працюють за допомогою шифрування даних. Вони можуть навіть прикидатися програмами-здирниками, вимагаючи оплату в обмін на ключ до розшифровки. Однак це просто трюк, і ключ розшифрування насправді знищується “очищувачем”, що робить відновлення файлів практично неможливим.
- Знищення дисків: Замість того, щоб знаходити і знищувати файли окремо, деякі програми Wiper атакують безпосередньо диски. Вони можуть ефективно перезаписувати великі сектори диска, але оскільки вони атакують диск у послідовному порядку, то можуть спровокувати аварійне завершення роботи операційної системи до того, як всі цільові файли будуть знищені.
Ці методи не обов’язково використовувати окремо, і різні шкідливі програми можуть використовувати комбінації будь-яких з них або всі разом. Саме це робить ці атаки такими руйнівними та складними для захисту.
Для чого застосовуються атаки шкідливих програм Wiper?
Різні типи шкідливих програм використовуються зловмисниками для атак на організації, викрадення інформації та навіть для заробітку. На відміну від інших кіберзлочинів, шкідливе програмне забезпечення-“стирач” є унікальним у своєму прагненні знищити інформацію. Атаки шкідливих програм Wiper, як правило, спрямовані на корпорації та уряди, а не на приватних осіб. Ось деякі з основних мотивів для розгортання цих руйнівних атак:
Саботаж або хактивізм
Саботаж корпорації або уряду може бути основною причиною використання шкідливого програмного забезпечення Wiper. Наприклад, атакуючи дані компанії, диверсант може завдати невиправної шкоди цьому бізнесу. Репутація компанії може серйозно постраждати через неможливість надавати послуги у звичному режимі або отримати доступ до важливих даних своїх клієнтів. Хоча хактивізм може бути мотивований соціальною причиною, яка може вважатися або не вважатися благородною, наслідки використання Wiper будуть такими ж, як і у випадку з саботажем.
Кібервійна
У кібервійні використовується будь-яка цифрова зброя, яку можуть отримати військові. Немає жодних підстав підозрювати, що військові не будуть використовувати шкідливе програмне забезпечення Wiper як один з багатьох інструментів для дестабілізації інфраструктури на територіях, які вони атакують. Насправді, з початку російського вторгнення в Україну було виявлено щонайменше сім атак, спрямованих на український уряд та бізнес. Ці атаки можуть знищити дані та системи, які підтримують як військових, так і цивільне населення.
Знищення доказів
Хакери, які крадуть або маніпулюють даними, залишають сліди, які слідчі можуть знайти, якщо вони не зітруть свої цифрові відбитки пальців. Використовуючи шкідливе програмне забезпечення після злому або шпигунства, можна знищити докази цих дій, а також відволікти зловмисника від фактичного порушення.
Фінансова вигода
Шкідливі програми Wiper, які маскуються під програми-вимагачі, можуть бути розгорнуті з метою отримання фінансової вигоди. Зловмисник може притримати доступ до файлів до моменту здійснення платежу, а потім все одно залишити файли зашифрованими або знищеними за допомогою програми-шифрувальника. Це також може допомогти замести сліди.
Найвідоміші атаки Wiper
Історія атак Wiper коротка, але руйнівна. Ось деякі з найбільш значущих атак, що відбулися у світі на сьогоднішній день.
- Shamoon, 2012 і 2016 роки: Ця атака була спрямована на компанії в Саудівській Аравії нібито у відповідь на злочини та утиски з боку уряду Саудівської Аравії. Він потрапив через фішингові електронні листи в локальні мережі і поширився, заразивши тисячі робочих станцій. Він знищував файли і замінював їх зображенням палаючого американського прапора, а потім пошкоджував MBR, щоб зробити комп’ютери непридатними для використання. У 2016 році Shamoon був розгорнутий знову, цього разу замінивши файли зображенням тіла потонулого сирійського хлопчика-біженця.
- Темний Сеул, 2013 рік: Ця атака була пов’язана з північнокорейським урядом і стерла диски 32 000 комп’ютерів південнокорейських ЗМІ та фінансових компаній.
- Notpetya, 2017 рік: Спочатку з’явився вірус-вимагач під назвою Petya, а Notpetya був модифікований і застосований для атаки на понад 80 компаній в Україні, а також у Німеччині, Польщі та росії. Він назавжди зашифрував файли на комп’ютерах, заражених через бекдор в українській програмі підготовки податкової звітності.
- Olympic Destroyer, 2018 рік: Вважається, що цей троянський вірус був створений російською хакерською групою Sandworm і мав на меті зірвати церемонію відкриття зимових Олімпійських ігор 2018 року в Пхьончхані (Південна Корея).
- Ordinypt, 2019 рік: ця атака була спрямована на німецькі компанії, потрапляючи в їхні мережі за допомогою фішингових електронних листів. Потрапивши всередину, вони вимагали викуп за розшифровку файлів, але насправді просто видаляли їх.
- Dustman, 2019: Dustman націлився на національну нафтову компанію Бахрейну, де він перезаписував файли на заражених машинах випадковими даними. Ця атака була пов’язана з іранськими державними суб’єктами загрози.
- ZeroCleare, 2020 рік: ZeroCleare був націлений на енергетичні та промислові компанії на Близькому Сході. Він перезаписував головний завантажувальний запис і розділи диска на комп’ютерах під управлінням Windows і отримував доступ через вразливий драйвер, щоб завдати зловмисному комп’ютеру шкоди. Ця атака також була пов’язана з Іраном.
- WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero, AcidRain, 2022: Ця серія з семи атак була спрямована на Україну, на урядові або бізнес-організації. Вони використовували різні механізми та методи проникнення для видалення, перезапису та шифрування файлів або безпосереднього знищення дисків. Час проведення цих атак, як напередодні, так і безпосередньо після російського вторгнення в Україну, вказує на їхній зв’язок з російськими військовими.
Як запобігти атакам шкідливого програмного забезпечення Wiper
Атаки шкідливого програмного забезпечення Wiper можуть бути неймовірно руйнівними. Як і у випадку з будь-яким іншим шкідливим програмним забезпеченням, для організацій вкрай важливо захистити себе за допомогою підвищення рівня освіти, покращення безпеки та підвищення обізнаності. Ось як ви можете запобігти втраті даних від атак вірусів-шифрувальників:
- Резервне копіювання даних: Зберігання ще однієї копії ваших даних, бажано постійно оновлюваної і віддаленої від поточної мережі, може допомогти вам відновити цінні файли, які в іншому випадку були б втрачені під час атаки.
- Сегментування мережі: Поділ мережі на менші частини може допомогти запобігти поширенню шкідливого програмного забезпечення та його руйнівним наслідкам.
- Керування безпекою програмного забезпечення: Щоб запобігти вторгненню шкідливого програмного забезпечення, дуже важливо оновлювати все ваше програмне забезпечення найновішими патчами безпеки. Застаріле програмне забезпечення може зробити вас вразливими.
- Посилення безпеки електронної пошти: Фішингові електронні листи використовувалися для зараження комп’ютерів шкідливим програмним забезпеченням-шифрувальником у минулому і надалі залишатимуться загрозою. Додавання додаткових рівнів захисту електронної пошти, таких як безпечні поштові шлюзи та хмарні поштові сервіси, підвищить вашу здатність блокувати шкідливі електронні листи.
- Підвищення рівня безпеки кінцевих точок: Посилення заходів безпеки на всіх кінцевих точках мережі може допомогти вам обмежити доступ до всіх суб’єктів загроз, які можуть мати зловмисні наміри щодо вашої організації. Це може включати контроль програм на пристроях, що використовуються у вашій мережі, використання потужного антивірусного програмного забезпечення та використання VPN для шифрування інтернет-трафіку.
- Моніторинг: Вкрай важливо постійно відстежувати системи на предмет незвичної поведінки. Уповільнення роботи системи та неавторизовані користувачі у ваших мережах можуть бути ознаками атак шкідливого програмного забезпечення, які можуть завдати шкоди вашій організації. Якщо ви постійно стежите за трафіком і системними журналами, ви зможете виявити зловмисні атаки до того, як вони завдадуть шкоди.
- Реагування на інциденти: Багато організацій не мають планів реагування на атаки шкідливого програмного забезпечення, але вони повинні бути! Створення команди реагування та плану реагування з відповідними процедурами, такими як швидка ізоляція заражених систем, може вчасно врятувати ваші дані.
Поширені запитання
Що таке шкідливе програмне забезпечення CaddyWiper?
CaddyWiper – це шкідливе програмне забезпечення для знищення даних, виявлене в березні 2022 року. Він використовувався для ураження українських організацій шляхом стирання даних користувачів, програм та інформації про розділи і поширювався через Microsoft GPO.
Що таке шкідливе програмне забезпечення HermeticWiper?
HermeticWiper – це ще один приклад шкідливого програмного забезпечення для знищення даних, яке також було націлене на Україну і вразило кілька відомих веб-сайтів та комп’ютерів. Цей шифрувальник був виявлений у лютому 2022 року напередодні російського вторгнення в Україну.
Чи є Wiper вірусом-здирником?
Ні, Wiper не є вірусом-здирником. Програми-здирники блокують доступ до персональних даних або шифрують ці файли до моменту сплати викупу. Доступ до файлів обіцяють повернути власнику після сплати викупу. Але програма Wiper видаляє файли і програми, а не просто блокує їх. Деякі програми Wiper маскуються під програми-здирники, але натомість безповоротно пошкоджують дані або видаляють файли, які вони нібито вимагають викупити.
Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі