Představte si, že by se vám nadobro vymazala všechna firemní data... Pro většinu lidí je to scénář jedné z nejhorších nočních můr. Útoky wiperů na Ukrajině z loňského jara, které odhalil ESET Research, ukazují, jak rychle se tento malware šíří po sítích a jak rozsáhlé mohou být škody, které způsobí. Jaká je obvyklá motivace těchto útoků, jak velké je riziko pro malé a střední podniky a jak lze wipery odhalit nebo se s nimi vypořádat? Přinášíme vám základní přehled všeho, co potřebujete vědět.
Útoky typu wiper jsou cílené, promyšlené a často připravené měsíce dopředu. Objevují se však spíše výjimečně, protože ve srovnání například s útoky ransomwaru z nich útočníci nemají přímý finanční zisk. Cílem kyberzločinců je obvykle zničit klíčová data a systémy, wipery se proto běžně používají jako zbraně v bojích mezi státy nebo sofistikovanými hackerskými skupinami. Přestože největší hrozbou pro malé a střední podniky (SMB) zůstávají úniky hesel a ransomware, vyplatí se zůstat obezřetný. Některé SMBs se také staly obětí útoků wiperů, a to buď jako součást složitých dodavatelských řetězců, nebo jim vznikla nepřímá škoda.
Když jeden útok otevře dveře dalším
V roce 2017 kyberzločinci infikovali ukrajinský účetní software M.E.Doc, který používala většina firem v zemi. Kompromitací jeho aktualizačního serveru se útočníkům podařilo rozšířit malware do partnerských společností a následně do celého světa. Útok zvaný (Not)Petya ukazuje, že malé a střední podniky mohou nedobrovolně otevřít dveře sofistikovaným útokům, zejména pokud dodávají své produkty nebo služby jiným společnostem. Totéž platí i pro MSP. |
Motivace k útokům wipery? Ničení důkazů a demonstrace moci
V některých případech jsou útoky typu wiper pouze posledním krokem složitějších kybernetických útoků, které zahrnují krádeže dat nebo jejich šifrování. Často pachatelé používají wipery nejen ke zničení dat, ale také k tomu, aby se zbavili důkazů. Tak tomu bylo i v případě útoku Industroyer v roce 2016, při kterém útočníci kompromitovali systémy energetické distribuční společnosti v ukrajinském Kyjevě a později použili wiper, aby zahladili stopy. Tím, že wipery odstraňují důkazy, téměř znemožňují obětem identifikovat, jak se malware dostal do jejich zařízení nebo jak se choval, když byl nainstalován.
Během nedávných kybernetických útoků na Ukrajině byl malware známý jako HermeticWiper nasazen společně s HermeticWizard a HermeticRansom a objevila se nová varianta výše zmíněného malwaru Industroyer – tentokrát Industroyer2, který byl nasazen společně s CaddyWiper a několika dalšími wipery, konkrétně zaměřenými na sítě Linux a Solaris.
Během geopolitických konfliktů mohou být wipery používány k demonstraci síly a sloužit jako součást psychologické války. Útočníci chtějí ukázat, že jsou schopni zničit část nebo části systému „protivníka“, a doufají, že jím útok otřese a ukáže destruktivní schopnosti aktéra hrozby. V takových případech se wipery nepoužívají nutně ke zničení klíčových dat na jednom zařízení, ale také k sabotáži celé sítě – jen proto, že útočník může.
Jaké jsou typy wiper útoků?
Útoky wipery se objevují v různých formách a za různými účely. Zatímco některé přepisují všechna data na discích nulami nebo náhodně generovaným obsahem, jiné ničí pouze části dokumentů – což může vést ke stejnému výsledku, takže postižené systémy zůstávají nefunkční. Některé wipery jsou „inteligentnější“ a snaží se nejprve získat maximální dosah a oprávnění, a teprve potom začít s ničením. Jiné typy wiperů se mohou zaměřit na zničení sítě jako takové. Cílem některých útoků není způsobit, aby zařízení přestala fungovat během několika minut, ale spíše je postupně odstavit, jako v případě Stuxnetu. Tento škodlivý počítačový červ údajně poškodil řadu odstředivek v íránském zařízení na obohacování uranu Natanz. Škodlivý software byl v systému velmi dobře ukryt a škody působil pouze postupně, takže bylo velmi obtížné identifikovat zdroj problému.
Nejlepší prevence? Kvalitní bezpečnostní řešení, neustálé monitorování sítě a blokování jakéhokoli neoprávněného přístupu k síti. |
Jiné útoky mohou mít stejné důsledky jako wipery
Některé útoky ransomwaru mohou mít nakonec stejný účinek jako útoky wiperů, takže oběti nenávratně ztratí podstatnou část dat. K tomu dochází, když se útočníci snaží provést ransomwarový útok, ale nesprávně implementují část šifrovacího procesu, a proto se jim nepodaří dešifrovat postižená data. V takových případech dochází ke ztrátě dat, stejně jako v případě útoku typu wiper, i když to nemuselo být záměrem kyberzločince. V jiných případech se wipery mohou tvářit jako ransomwarové útoky – jako tomu bylo v případě (Not)Petya.
Útočníci za sebou zanechávají falešné důkazy
Obecně je poměrně problematické najít logy, které ukazují, jak se wiper do systému dostal. Často je infikováno více systémů najednou. Útočníci často podstrkují takzvané falešné stopy (například části kódu nebo modus operandi) typické pro konkurenční hackerskou skupinu. Tímto způsobem lze místo skutečných pachatelů obvinit jiného aktéra. Je téměř nemožné si být stoprocentně jistý, kdo stál za obrovskými útoky wiperů, dokud nezasáhnou orgány činné v trestním řízení a bezpečnostní služby a nevyužijí vlastní zpravodajské informace k provedení atribuce, přičemž po tomto kroku obvykle následují osobní sankce vůči pachatelům.
Olympiáda falešných důkazů?
V roce 2018 malware později pojmenovaný Olympic Destroyer infikoval systémy, které zajišťovaly chod zahajovacího ceremoniálu během zimních olympijských her v jihokorejském Pchjongčchangu. Malware obsahoval spoustu falešných důkazů, díky kterým se zdálo, že za útokem stojí Severní Korea, ale později se objevily čínské a ruské stopy. Trvalo několik týdnů, než se nakonec potvrdilo, že ceremoniál zkazil „tým Sandworm ". |
Zastavte procesor, zastavte wiper
Pokud je v systému zjištěn wiper, ukončete všechny spuštěné procesy a pokud možno odpojte zařízení od sítě. Nezapomeňte, tento přístup lze použít pouze v případě, že vypnutí daných procesů v konečném důsledku nezpůsobí větší škody nebo neohrozí bezpečnost zaměstnanců. Rychlost vymazání dat závisí na rozsahu útoku. Některé útoky mají předem striktně stanovené priority a mohou vyřadit celou firmu z provozu během několika minut, zatímco jiné trvají hodiny a mohou být (alespoň částečně) přerušeny.
Vždy pamatujte na to, abyste měli k dispozici účinnou strategii zálohování a obnovy. Pokud se stanete terčem wiper útoku, můžete mít stále k dispozici záložní úložiště mimo firmu nebo v cloudu, které vám umožní obnovit data během několika minut nebo dnů.
Vyplatí se také identifikovat data, která jsou pro vaši firmu klíčová. Zatímco některé společnosti si mohou dovolit přijít o několik účtů, pro jiné může mít zničení dat katastrofální následky. Představte si herní společnost, kterou takový útok postihne. Ztráta dat hráčů v online hře za několika předchozích měsíců může způsobit obrovské poškození pověsti a demotivovat uživatele, aby se vraceli. Přestože se jedná „jen o hru“, incident může v konečném důsledku zničit tok příjmů společnosti a donutit ji ukončit podnikání.
Offline a spolehlivé zálohování dat a vyspělé strategie kybernetické bezpečnosti by mohly rizika zmírnit, čímž by se systémy společnosti staly odolnějšími a kyberzločinci by byli nuceni hledat jiné způsoby, jak vydělat své peníze.