Wiper (вредоносное ПО)

Вредоносное ПО, предназначенное для стирания файлов на хост-компьютере

В компьютерной безопасности вайпер — это класс вредоносных программ, предназначенных для стирания (очистки, отсюда и название) жесткого диска или другой статической памяти компьютера, который они заражают, злонамеренно удаляя данные и программы.

Примеры

Вредоносная программа под названием «Wiper» предположительно использовалась в атаках на иранские нефтяные компании. В 2012 году Международный союз электросвязи предоставил «Лаборатории Касперского» жесткие диски, предположительно поврежденные Wiper, для анализа. Хотя образец предполагаемой вредоносной программы найти не удалось, «Лаборатории Касперского» удалось обнаружить следы отдельной вредоносной программы, известной как Flame . ^{[1] [2] [3]}

Вредоносная программа Shamoon содержала механизм стирания диска; она применялась в вредоносных атаках 2012 и 2016 годов, нацеленных на саудовские энергетические компании, и использовала коммерческий драйвер прямого доступа к диску, известный как Rawdisk . Первоначальный вариант перезаписывал файлы частями изображения горящего флага США . Вариант 2016 года был почти идентичен, за исключением использования вместо этого изображения тела Алана Курди . ^{[4] [5]}

Компонент стирания использовался как часть вредоносного ПО, применяемого Lazarus Group — киберпреступной группировкой, предположительно связанной с Северной Кореей , во время кибератаки на Южную Корею в 2013 году и взлома Sony Pictures в 2014 году . ^{[6] [7] [8]} Взлом Sony также использовал RawDisk. ^[4]

В 2017 году компьютеры в нескольких странах, в первую очередь в Украине , были заражены NotPetya , который является вариантом программы-вымогателя Petya, которая в функциональном смысле была вайпером. Вредоносная программа заражает главную загрузочную запись полезной нагрузкой , которая шифрует внутреннюю таблицу файлов файловой системы NTFS . Хотя она по-прежнему требовала выкуп, было обнаружено, что код был значительно изменен, так что полезная нагрузка фактически не могла отменить свои изменения, даже если выкуп был успешно заплачен. ^{[9] [10]}

Несколько вариантов вредоносного ПО Wiper были обнаружены во время кибератак на компьютерные системы, связанные с Украиной, в 2022 году. Названные исследователями CaddyWiper , HermeticWiper , IsaacWiper и FoxBlade , программы показали мало общего друг с другом, что вызвало предположения, что они были созданы различными спонсируемыми государством субъектами в России специально для этого случая. ^[11]

Решение

Реактивная избыточность является возможным решением для защиты от уничтожения данных. Исследователи могут создавать системы, способные анализировать буферы записи до того, как они достигнут носителя информации, определять, является ли запись разрушительной, и сохранять данные при уничтожении. ^[12]

Ссылки

1. "Destructive Malware - Five Wipers in the Spotlight". Securelist . Получено 2017-07-03 .
2. Зеттер, Ким. «Вредоносное ПО Wiper, поразившее Иран, оставило возможные подсказки о его происхождении». Wired.com . Получено 03.07.2017 .
3. Эрдбринк, Томас (23 апреля 2012 г.). «Столкнувшись с кибератакой, иранские чиновники отключили некоторые нефтяные терминалы от Интернета». The New York Times . Архивировано из оригинала 31 мая 2012 г. Получено 29 мая 2012 г.
4. "Вредоносное ПО Shamoon Wiper возвращается с удвоенной силой". Ars Technica . Получено 03.07.2017 .
5. Перлрот, Николь (2012-08-24). «Среди цифровых крошек от кибератаки Saudi Aramco, изображение горящего флага США». Битс . The New York Times . Получено 2017-07-03 .
6. "Внутри вредоносного ПО "wiper", поставившего Sony Pictures на колени [Обновление]". Ars Technica . Получено 03.07.2017 .
7. Палилери, Хосе (24 декабря 2014 г.). «Что стало причиной взлома Sony: что мы знаем сейчас». CNNMoney . Получено 4 января 2015 г.
8. Зеттер, Ким. «Хакеры Sony сеяли хаос за годы до того, как напали на компанию». Wired . Получено 03.07.2017 .
9. «Массовая вспышка вируса-вымогателя во вторник на самом деле была чем-то гораздо худшим». Ars Technica . 28 июня 2017 г. Получено 28 июня 2017 г.
10. «Кибератака была направлена ​​на данные, а не на деньги, говорят эксперты». BBC News . 29 июня 2017 г. . Получено 29 июня 2017 г. .
11. "Sicherheitsforscher finden neue Zerstörungs-Malware auf ukrainischen Computersystemen" . стандарт.at . Проверено 15 марта 2022 г.
12. Гутьеррес, Кристофер Н.; Спаффорд, Юджин Х.; Багчи, Саурабх; Юрек, Томас (2018-05-01). «Реактивная избыточность для защиты от уничтожения данных (R2D2)». Компьютеры и безопасность . 74 : 184–201. doi : 10.1016/j.cose.2017.12.012 . ISSN  0167-4048.