Pesquisadores de segurança cibernética testemunharam um aumento repentino no número de implantações de malware de limpeza, possivelmente devido à guerra na Ucrânia. Embora estes não tenham sido oficialmente atribuídos a atores de ameaças patrocinados pelo Estado russo, seus objetivos se alinham com os militares russos. É amplamente teorizado que esses ataques cibernéticos estão sendo lançados intencionalmente em conjunto com a invasão.
Conceito
O termo limpador no malware limpador vem de sua função mais básica, quando o objetivo do malware é limpar (apagar) o disco rígido da máquina vítima. Mais genericamente, o malware de limpeza pode ser definido como um software malicioso que tenta destruir dados. Como veremos nas seções a seguir, existem diferentes maneiras de fazer isso.
Dados históricos
Shamoon , 2012: Usado para atacar a Saudi Aramco e as empresas petrolíferas RasGas do Qatar.
Dark Seoul , 2013: Atacou a mídia sul-coreana e empresas financeiras.
Shamoon , 2016: Voltou a atacar novamente as organizações da Arábia Saudita.
NotPetya , 2017: Originalmente direcionado a organizações ucranianas, mas devido à sua capacidade de autopropagação, tornou-se o malware mais devastador até hoje.
Destruidor Olímpico , 2018: Ataque direcionado contra os Jogos Olímpicos de Inverno na Coreia do Sul.
Ordinypt/GermanWiper , 2019: organizações alemãs direcionadas com e-mails de phishing em alemão.
Dustman , 2019: Atores de ameaças patrocinados pelo Estado iraniano atacaram a Bapco, empresa nacional de petróleo do Bahrein.
ZeroClare , 2020: empresas de energia atacadas no Oriente Médio.
WhisperKill , 2022: organizações ucranianas atacadas em paralelo com a guerra Ucrânia-Rússia.
WhisperGate , 2022: organizações ucranianas atacadas em paralelo com a guerra Ucrânia-Rússia.
HermeticWiper , 2022: Atacaram organizações ucranianas em paralelo com a guerra Ucrânia-Rússia.
IsaacWiper , 2022: Organizações ucranianas atacadas em paralelo com a guerra Ucrânia-Rússia.
CaddyWiper , 2022: Organizações ucranianas atacadas em paralelo com a guerra Ucrânia-Rússia.
DoupleZero , 2022: organizações ucranianas atacadas em paralelo com a guerra Ucrânia-Rússia.
AcidRain , 2022: Atacou o provedor de serviços de satélite KA-SAT da Viasat.
Possíveis motivações
Ganho financeiro
Uma das principais motivações, é o ganho financeiro. Isso é compreensível porque é difícil monetizar a destruição. No entanto, um aspecto que queremos destacar aqui é a variante de ransomware falso que finge criptografar dados e pedir um resgate, mas sem a capacidade de recuperar dados. Isso pode ser chamado de golpe de ransomware porque o conceito de ransomware é fraudulento. Os atores de ameaças que empregam essas técnicas estão simplesmente procurando ganhar dinheiro rápido sem investir no desenvolvimento de uma ferramenta de ransomware real ou no trabalho de administração por trás de uma operação real de ransomware. É claro que essa empresa tem vida curta porque, uma vez que não é possível recuperar dados, ninguém pagará o resgate.
Um bom exemplo é o Ordinypt ou GermanWiper, que estava ativo em 2017. Assim como o ransomware, ele alterou arquivos e adicionou uma extensão aleatória de 5 caracteres a eles. Também destruiu as opções de recuperação, como a cópia de sombra do Windows. E mudou o plano de fundo da área de trabalho para exibir uma nota de resgate com um endereço Bitcoin onde o pagamento do resgate deveria ser enviado. No entanto, ele realmente não criptografava arquivos. Em vez disso, ele os preencheu com zero bytes e os truncou. Com essa abordagem, não havia como recuperar nenhum arquivo afetado.
Outras motivações
Destruição de Evidências
Em vez de apagar meticulosamente seus rastros e todas as evidências de seu ataque, os invasores simplesmente implantam um malware limpador na organização. Isso não apenas apaga as evidências, mas a escala da destruição faz com que os defensores se concentrem na recuperação de dados e operações e não na investigação da invasão.
Sabotar
A sabotagem é a razão mais óbvia para implantar um limpador. Assim como o malware Stuxnet foi usado para destruir centrífugas para retardar os esforços do Irã para desenvolver armas nucleares, o malware limpador pode ser usado para destruir dados, sabotar o desenvolvimento, causar perdas financeiras ou apenas causar caos.
Guerra cibernética
Alguns meses atrás, não teria sido tão simples incluir essa motivação na lista. Mas no momento desta postagem, sete ataques de malware de limpeza diferentes (WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero, AcidRain) foram descobertos visando infraestrutura ucraniana ou empresas ucranianas – todos claramente alinhados com o interesse da Rússia na Ucrânia-Rússia guerra. Geralmente, as operações de limpeza nesta categoria atacam alvos cuja destruição é do interesse dos militares adversários.
E o que fazer para proteger sua empresa desse tipo de ataque?
Existem várias práticas recomendadas que as organizações devem implementar para minimizar o impacto do malware do limpador:
Backup: A contramedida mais útil para ransomware e malware de limpeza é ter backups disponíveis. O malware geralmente procura ativamente backups na máquina (como o Windows Shadow Copy) ou na rede para destruir. Portanto, os backups devem ser armazenados off-site e off-line para sobreviver a ataques sofisticados. E quando falamos de backups, é importante mencionar que a existência de backups é essencial, mas também existe um processo de recuperação detalhado. E que a equipe de TI exercite regularmente a recuperação do backup para minimizar o tempo de inatividade.
Segmentação : A segmentação de rede adequada pode ser útil em vários níveis. Por exemplo, pode limitar o impacto de um ataque a um segmento da rede. Além disso, firewalls usados em combinação com sistemas antivírus e de prevenção de intrusão, podem detectar a propagação de malware na rede, comunicações com servidores conhecidos de comando e controle e arquivos maliciosos como eles são movidos através da rede.
Plano de recuperação de desastres: Uma vez que um limpador é implantado na rede, a questão é quão bem a organização está preparada para tal situação. Quais processos foram definidos para continuidade de negócios sem TI? Como será feita a restauração dos backups e como a organização comunicará o incidente aos clientes e à mídia? Estas são todas as questões que devem ser resolvidas antes de um ataque. Tudo isso e muito mais deve ser definido em um plano de recuperação de desastres, que será inestimável sob o estresse extremo de um compromisso ativo.
Resposta a incidentes: A velocidade e a qualidade da resposta a incidentes são cruciais, e o resultado do ataque pode depender muito disso. Em um cenário em que um comprometimento é detectado antes que o malware do limpador seja implantado, a maneira como a equipe de resposta a incidentes lida e responde ao comprometimento pode significar a diferença entre evitar com sucesso a perda de dados e a destruição completa dos dados. Os serviços de prontidão e resposta a incidentes FortiGuard são um parceiro confiável de muitas organizações exatamente para esse propósito.
A Contego Security é parceira da Fortinet e pode ajudar sua empresa! Entre em contato para mais informações.
Fonte: https://www.fortinet.com/blog/threat-research/the-increasing-wiper-malware-threat