В Украине с начала войны распространяют вирусы Wiper, которые стирают жесткий диск. Как они работают

Во время войны в Украине увеличивается количество развертываний вредоносных программ Wiper. Об этом говорится в отчете FortiGuard Labs.

«Хотя эти программы официально не приписывают российским государственным угрозам, их цели совпадают с целями российских военных, – говорят авторы отчета. – Широко распространена теория, что эти кибератаки осуществляются намеренно вместе с вторжением».

FortiGuard Labs предоставили больше информации об этой угрозе, чтобы помочь организациям понять ее и применить лучшую защиту.

Что такое вредоносное программное обеспечение Wiper

Цель вредоносного ПО – стереть жесткий диск машины-жертвы, уничтожить данные.

Wiper появился в 2012 году. Вот краткая история заметных вредоносных программ.

• Shamoon, 2012: использовали для нападения на Saudi Aramco и катарские нефтяные компании RasGas.
Онлайн-курс "Предметний дизайн" від Skvot.
Навчіться створювати функціональні, трендові та ергономічні дизайни меблів та предметів інтер’єру.
Детальніше про програму курсу і лекторів
• Dark Seoul, 2013: напали на южнокорейские медиа и финансовые компании.
• Shamoon, 2016: вернулся, чтобы снова атаковать организации Саудовской Аравии.
• NotPetya, 2017: сначала нацелился на украинские организации, но благодаря способности к самораспространению стал наиболее разрушительным вредоносным программным обеспечением на сегодняшний день.
• Olympic Destroyer, 2018: атака против зимних Олимпийских игр в Южной Корее.
• Ordinypt/GermanWiper, 2019: напал на немецкие организации с использованием фишинговых электронных писем на немецком языке.
• Dustman, 2019: напали на BAPCO, национальную нефтяную компанию Бахрейна.
• ZeroCleare, 2020: атаковал энергетические компании на Ближнем Востоке.
• WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero, 2022: атаковал украинские организации параллельно с украинско-российской войной.

Для чего создали Wiper

Специалисты компании видят четыре основных мотивации, которые побуждали злоумышленников использовать Wiper.

1. Финансовая выгода

С этой целью в первую очередь используют вирусы-шифровальщики, вредоносные программы-вымогатели, которые прикидываются, что шифруют данные, чтобы получить от потерпевшего выкуп за дешифрование. Но в большинстве случаев данные были уничтожены и не подлежали восстановлению.

2. Уничтожение улик

Эту мотивацию доказать сложно. Можно заключить, что истинной причиной было что-то другое, например, шпионаж.

Вместо того чтобы удалить все доказательства существования, злоумышленники разворачивают внутри организации вредоносное ПО. В таком случае защитники изнутри вынуждены сосредоточиться на восстановлении данных, а не на расследовании вторжения. Это стирает улики и увеличивает масштабы уничтожения.

3. Саботаж

В то же время саботаж является наиболее очевидной причиной использования вирусов Wiper.

Одним из примеров является вредоносное программное обеспечение Shamoon, которое использовали для атаки на Saudi Aramco и другие нефтяные компании. Атака уничтожила 30 тысяч рабочих станций Saudi Aramco. В таких масштабах даже замена этих компьютеров становится кошмаром логистики. Атака была также запланирована на время, когда праздник только начался, чтобы увеличить по максимуму свое влияние с расчетом на ограниченный персонал, доступный для реагирования на атаку. Это почти парализовало работу компаний.

4. Кибервойна

Сейчас это действует в Украине. Вирусы в таких случаях повреждают объекты критической инфраструктуры, тактические и другие цели. Это могут делать для того, чтобы вызвать хаос и усилить психическую нагрузку. Атаки Wiper также могут оказать разрушительное влияние на критические инфраструктурные цели, имеющие свою ценность в войне. 

Интересным и недавним примером этого является подозрение, что Wiper AcidRain использовали при атаке на поставщика услуг спутникового широкополосного доступа Viasat KA-SAT. Злоумышленник получил доступ к инфраструктуре управления провайдера для развертывания AcidRain на модемах KA-SAT, которые используют в Украине. Атака также сделала недоступными 5,8 тыс. ветровых турбин в Германии.