Più pericoloso di un attacco Ransomware, l'unico intento del malware Wiper è quello di causare perdite di reputazione e danni.
Se pensi che gli attacchi Ransomware siano il più letale degli attacchi informatici, e bene che tu cambi idea. Sebbene estremamente devastante, puoi almeno, in molti casi, provare a recuperare i tuoi file crittografati negoziando e trattando.
Sfortunatamente, questo non è il caso di un malware vizioso noto come “tergicristallo” ovvero Wiper, il cui unico scopo non è quello di rubare denaro, ma piuttosto di causare distruzione e danni.
Quindi, come ha avuto origine questo malware mortale? Quali sono i suoi diversi ceppi e ci sono modi per proteggersi da esso?
Cos’è il Wiper Malware?
Il Wiper non è il tipico malware. Come un uragano, questo malware spazza via tutto ciò che viene sul suo cammino. L'unico scopo di questo malware è quello di causare deturpamento e distruzione per le vittime.
Mentre può finire per causare perdite finanziarie sostanziali per le parti interessate, il suo obiettivo principale non è quello di rubare denaro o vendere informazioni ai criminali informatici, come i classici R
ansomware, ma piuttosto la distruzione stessa.
Ma perché questo malware gravita verso la distruzione? Sebbene gli aggressori possano avere molte ragioni per le loro azioni, spesso sembrano cercare di inviare un messaggio politico o semplicemente tentare di coprire le loro tracce dopo che si è verificata l'esfiltrazione dei dati.
Le origini del Malware Wiper
I primi casi di malware Wiper hanno avuto origine in Medio Oriente nel 2012 e successivamente in Corea del Sud nel 2013. Ma questo malware non è stato sotto i riflettori fino al 2014, quando diverse aziende di alto profilo ne sono rimaste paralizzate.
Nello stesso anno, il primo attacco Wiper è stato condotto negli Stati Uniti contro Sony Pictures Entertainment insieme a diversi altri attacchi malware che hanno preso di mira il paese, spingendo l'FBI a emettere un avviso flash di emergenza alle aziende.
Come attacca il Malware Wiper
Gli attori delle minacce possono utilizzare varie tecniche per far esplodere il malware Wiper, tra le più comuni troviamo il targeting di file o dati, backup di sistema e dati e avvio del sistema di un sistema operativo.
Di tutte e tre le tecniche, la distruzione dei file richiede più tempo per essere completata. E per evitare di perdere tempo prezioso, la maggior parte dei Wiper non sovrascrive intere unità disco e scrive invece minuscole quantità di dati in modo casuale a intervalli specifici per distruggere i file.
Nella maggior parte dei casi, il Wiper prende di mira i file per gli strumenti di ripristino del sistema essenziali per assicurarsi che non rimanga alcuna opzione per il ripristino.
I principali esempi di Varianti Wiper
Il malware Wiper ha avuto un grave impatto su diverse organizzazioni e governi di alto profilo negli ultimi dieci anni. Ecco alcuni esempi reali delle varianti di Wiper che hanno causato gravi ripercussioni in tutto il mondo.
Shamoon
Una delle varianti più popolari del malware Wiper, Shamoon, ha attaccato Saudi Aramco e varie altre compagnie petrolifere mediorientali tra il 2012 e il 2016. Il malware si è infiltrato nei personal computer e ha distrutto oltre 30.000 dischi rigidi utilizzando un driver di accesso diretto all'unità chiamato RawDisk.
La variante Shamoon è auto-propagante. Attraverso dischi di rete condivisi, si diffonde da un dispositivo all'altro e non lascia alcuna opzione alle vittime di recuperare i dati distrutti. L'utilizzo del driver RawDisk sovrascrive i dischi e quindi cancella il record di avvio principale (MBR), impedendo anche l'avvio del sistema.
Meteor
Meteor è un ceppo riutilizzabile del malware tergicristallo. Questa variante può essere configurata esternamente e viene fornita con funzionalità viziose, tra cui la modifica delle password utente, la disabilitazione della modalità di ripristino e l'emissione di comandi dannosi, tra gli altri.
Questa variante ha causato interruzioni estreme e caos per i servizi ferroviari iraniani quando è emersa per la prima volta nel luglio 2021.
NotPetya
NotPetya è considerata la più dannosa delle varianti di Wiper. È stato scoperto nel 2017 e ha causato circa $ 10 miliardi di danni alle multinazionali.
È anche uno dei ceppi di Wiper più interessanti perché si proietta ad essere ransomware quando in realtà non lo è. La confusione sorge a causa di uno dei suoi ceppi originali, Petya, un attacco ransomware in cui alle macchine della vittima è stata fornita una chiave di decrittazione dopo un pagamento di riscatto.
Zero Cleare
Questa famigerata variante del malware Wiper è stata inventata per cancellare i dati dai sistemi mirati. È emerso nel 2019 quando ha attaccato varie compagnie energetiche in tutto il Medio Oriente. Migliaia di sistemi sono stati infettati sulla scia di questo attacco e sono stati lasciati esposti anche a episodi futuri.
La premessa principale dietro ZeroCleare è quella di sovrascrivere le partizioni del disco e MBR su macchine basate su Windows utilizzando EldoS RawDisk.
WhisperGate
Questo è il nuovo ceppo del malware wiper che ha inflitto attacchi mirati contro il governo ucraino nel gennaio 2022, come identificato da Microsoft Threat Intelligence Center. L'attacco ha deturpato vari domini di siti Web – almeno settanta siti Web – di proprietà del governo del paese.
Mentre WhisperGate potrebbe avere una sorprendente somiglianza con NotPetya, questa varietà è ancora più dannosa, soprattutto considerando che è nuova.
HermeticWiper
Questo nuovo Wiper malware per la cancellazione dei dati ha colpito centinaia di computer in rete. L’attacco è stato sferrato poche ore dopo una serie di attacchi DDoS (distributed denial-of-service) che hanno messo fuori uso importanti siti web in Ucraina, oltre che le vicine Lituania e Lettonia.
Sono state trovate prove che gli aggressori hanno ottenuto l'accesso alle reti delle vittime con largo anticipo sfruttando le vulnerabilità di Microsoft Exchange già a novembre 2021 e installando shell Web prima di distribuire il malware Wiper.
Come affrontare queste minacce
Le minacce malware sono in continua evoluzione e cambiano di giorno in giorno. Di conseguenza, le soluzioni di protezione classiche non sono più sufficienti. E’ bene utilizzare soluzione che seguano approcci innovativi come la Deception in grado di prevenire gli attacchi grazie alla tecnica dell’inganno.
Educazione alla cybersecurity
Gli utenti informati possono essere la migliore forma di difesa contro gli attacchi informatici. I dipendenti sono l'anello più debole di qualsiasi organizzazione, quindi l’istruzione del personale sulle truffe di phishing, anomalie degli URL, allegati strani e altri vettori di attacco, diventa molto importante.
Fare Backup regolarmente
Un solido piano di disaster recovery può ridurre al minimo sia la perdita di dati che i tempi di inattività. Impostando backup robusti, deduplicazione dei dati e infrastruttura desktop virtuale, è possibile ripristinare i dati anche dopo un grave attacco come il Wiper o qualsiasi attacco malware.
Patch per sistema operativo e software
Contrariamente alla credenza popolare, la maggior parte degli aggiornamenti del sistema operativo (OS) sono legati alla sicurezza e non solo alle funzionalità. Queste patch forniscono la protezione necessaria contro le vulnerabilità identificate a partire da una versione del sistema operativo o del software.