Wiper bierze na cel nie tylko Ukrainę
Dane zgromadzone przez badaczy z FortiGuard Labs firmy Fortinet wskazują, że w 2022 r. wiele ataków z wykorzystaniem wymazującego dane oprogramowania typu wiper wycelowanych było nie tylko w podmioty na terenie Ukrainy, ale również poza jej terytorium. Sięganie po takie narzędzia jest elementem współczesnej cyberwojny i może mieć poważniejsze skutki od ataków z powszechnie stosowanym oprogramowaniem ransomware.
Od wybuchu wojny w Ukrainie w lutym 2022 r. widoczny jest wzrost liczby wariantów złośliwego oprogramowania typu wiper. Tylko w pierwszej połowie zeszłego roku badacze FortiGuard Labs wykryli siedem nowych typów narzędzi wymazujących dane. W porównaniu z atakami ransomware, wymuszającymi okup za odszyfrowanie danych, wiper bezpowrotnie je usuwa, nie dając ofiarom szansy na odzyskanie informacji.
Wiper na wojennym froncie
Znaczna część wariantów narzędzi typu wiper zidentyfikowanych w I połowie 2022 r. została wycelowana w podmioty na terytorium Ukrainy. Atakowano głównie infrastrukturę wojskową, rządową, a także krytyczną, jak elektrownie czy wodociągi.
W zeszłym roku cyberwojenne działania przestępców wykroczyły nawet poza Ziemię. Jedną z odmian oprogramowania typu wiper, zidentyfikowaną przez FortiGuard Labs, był AcidRain. Narzędzie to wzięło na cel modemy globalnego dostawcy sieci komunikacji satelitarnej, powodując utratę połączenia z nią. W wyniku tego ataku tymczasowo przestało działać prawie 6 tysięcy turbin wiatrowych w Niemczech. Przesłanie cyberprzestępców było jasne: nawet jeśli kampania była kierowana przeciwko Ukrainie, jej skutki mogą łatwo rozprzestrzenić się na inne kraje i podmioty.
Wzrost aktywności złośliwego oprogramowania typu wiper podczas konfliktu zbrojnego nie jest zaskoczeniem. Jednak na takim działaniu z trudem można zarobić, w przeciwieństwie do ataków ransomware. Motywacją cyberprzestępców sięgających po narzędzia wymazujące dane w czasie wojny nie jest chęć wzbogacenia się, ale sianie zniszczenia, sabotaż i prowadzenie cyfrowej wojny – wskazują eksperci z Fortinet.
Haktywizm w Europie
Badacze z FortiGuard Labs zauważyli również wzrost liczby złośliwych kampanii wycelowanych w kraje inne niż Ukraina. W państwach nordyckich w kwietniu 2022 r. wykryto 4 mld ataków typu DDoS, a w październiku ich liczba wzrosła do 25 mld. Najwięcej przypadków naruszeń bezpieczeństwa zidentyfikowano w Danii i Finlandii.
W przypadku m.in. ataków w Europie Północnej niektórzy cyberprzestępcy zaczęli celowo modyfikować kod ransomware na wipery, nie dostarczając klucza deszyfrującego dane. Tak było również podczas kampanii z wykorzystaniem obecnego w fałszywym instalatorze oprogramowania narzędzia ransomware Somnia, które zostało użyte w kilku atakach na systemy ukraińskich podmiotów. Tak jak w przypadku większości działań z użyciem ransomware’u, przestępcy eksfiltrowali dane i utrzymywali dostęp do nich tak długo, jak było im to potrzebne. Jednak pod koniec ataku nie zaoferowano żadnego klucza deszyfrującego, co sprawiło, że pliki pozostały bezużyteczne dla ofiar.
Wiper Azov – nieudany żart cyberprzestępców
W II połowie 2022 r. badacze FortiGuard Labs zidentyfikowali drugą wersję wipera Azov. Szybko zwrócił uwagę mediów, ponieważ dostarczał ofiarom wiadomość napisaną w imieniu znanych badaczy bezpieczeństwa. Oni jednak zaprzeczyli jakimkolwiek związkom z jego rzeczywistymi twórcami. Ponadto Azov wyświetlał ofiarom proukraińską wiadomość, aby zwrócić większą uwagę na aspekty dotyczące trwającej wojny.
Azov został napisany w asemblerze, podczas gdy większość złośliwego oprogramowania tworzona jest w językach python, .NET lub C/C++. Zaprzecza to pierwszemu wrażeniu, że był to żart wykorzystany do zrzucenia winy na badaczy bezpieczeństwa. Azov to wyrafinowany wiper, który implementuje wiele nowoczesnych technik, wyraźnie pokazując, że korzystają z niego groźne grupy przestępcze.
Autorzy złośliwych narzędzi rozumieją, że szybkość szyfrowania danych jest często kluczowa dla sukcesu całego ataku. Po rozpoczęciu tego procesu ścigają się z zespołem reagowania na incydenty, który może wykryć naruszenie bezpieczeństwa w dowolnym momencie. W rezultacie cyberprzestępcy opracowali sposób optymalizacji wydajności swoich kampanii. Kod stosowany przy niektórych nowych rodzajach ataku ransomware zawiera obecnie architekturę, która umożliwia równoległe uruchamianie wielu wątków szyfrowania. Inni przestępcy zdali sobie sprawę, że szyfrowanie plików w całości jest czasochłonne i może nawet nie być konieczne. To wszystko pokazuje, że w 2023 r. należy spodziewać się kolejnych prób optymalizacji ataków, również tych z użyciem oprogramowania wymazującego dane. Zespoły odpowiedzialne za cyfrowe bezpieczeństwo powinny być o krok przed przestępcami oraz przygotować się na ewentualny kolejny wzrost zagrożenia narzędziami typu wiper.