Wiper bierze na cel nie tylko Ukrainę, cyberwojna przekracza granice państw

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Dane zgromadzone przez badaczy z FortiGuard Labs firmy Fortinet wskazują, że w 2022 roku wiele ataków z wykorzystaniem wymazującego dane oprogramowania typu wiper wycelowanych było nie tylko w podmioty na terenie Ukrainy, ale również poza jej terytorium. Sięganie po takie narzędzia jest elementem współczesnej cyberwojny i może mieć poważniejsze skutki od ataków z powszechnie stosowanym oprogramowaniem ransomware.

Od wybuchu wojny w Ukrainie w lutym 2022 roku widoczny jest wzrost liczby wariantów złośliwego oprogramowania typu wiper. Tylko w pierwszej połowie zeszłego roku badacze FortiGuard Labs wykryli siedem nowych typów narzędzi wymazujących dane. W porównaniu z atakami ransomware, wymuszającymi okup za odszyfrowanie danych, wiper bezpowrotnie je usuwa, nie dając ofiarom szansy na odzyskanie informacji.

Wiper na wojennym froncie

Znaczna część wariantów narzędzi typu wiper zidentyfikowanych w pierwszej połowie 2022 roku została wycelowana w podmioty na terytorium Ukrainy. Atakowano głównie infrastrukturę wojskową, rządową, a także krytyczną, jak elektrownie czy wodociągi.

W zeszłym roku cyberwojenne działania przestępców wykroczyły nawet poza Ziemię. Jedną z odmian oprogramowania typu wiper, zidentyfikowaną przez FortiGuard Labs, był AcidRain. Narzędzie to wzięło na cel modemy globalnego dostawcy sieci komunikacji satelitarnej, powodując utratę połączenia z nią. W wyniku tego ataku tymczasowo przestało działać prawie 6 tysięcy turbin wiatrowych w Niemczech. Przesłanie cyberprzestępców było jasne: nawet jeśli kampania była kierowana przeciwko Ukrainie, jej skutki mogą łatwo rozprzestrzenić się na inne kraje i podmioty.

Wzrost aktywności złośliwego oprogramowania typu wiper podczas konfliktu zbrojnego nie jest zaskoczeniem. Jednak na takim działaniu z trudem można zarobić, w przeciwieństwie do ataków ransomware. Motywacją cyberprzestępców sięgających po narzędzia wymazujące dane w czasie wojny nie jest chęć wzbogacenia się, ale sianie zniszczenia, sabotaż i prowadzenie cyfrowej wojny – wskazują eksperci z Fortinet.

Haktywizm w Europie

Badacze z FortiGuard Labs zauważyli również wzrost liczby złośliwych kampanii wycelowanych w kraje inne niż Ukraina. W państwach nordyckich w kwietniu 2022 roku wykryto 4 miliardy ataków typu DDoS, a w październiku ich liczba wzrosła do 25 miliardów. Najwięcej przypadków naruszeń bezpieczeństwa zidentyfikowano w Danii i Finlandii.

W przypadku m.in. ataków w Europie Północnej niektórzy cyberprzestępcy zaczęli celowo modyfikować kod ransomware na wipery, nie dostarczając klucza deszyfrującego dane. Tak było również podczas kampanii z wykorzystaniem obecnego w fałszywym instalatorze oprogramowania narzędzia ransomware Somnia, które zostało użyte w kilku atakach na systemy ukraińskich podmiotów. Tak jak w przypadku większości działań z użyciem ransomware’u, przestępcy eksfiltrowali dane i utrzymywali dostęp do nich tak długo, jak było im to potrzebne. Jednak pod koniec ataku nie zaoferowano żadnego klucza deszyfrującego, co sprawiło, że pliki pozostały bezużyteczne dla ofiar.

Wiper Azov – nieudany żart cyberprzestępców

W drugiej połowie 2022 roku badacze FortiGuard Labs zidentyfikowali drugą wersję wipera Azov. Szybko zwrócił uwagę mediów, ponieważ dostarczał ofiarom wiadomość napisaną w imieniu znanych badaczy bezpieczeństwa. Oni jednak zaprzeczyli jakimkolwiek związkom z jego rzeczywistymi twórcami. Ponadto Azov wyświetlał ofiarom proukraińską wiadomość, aby zwrócić większą uwagę na aspekty dotyczące trwającej wojny.

Azov został napisany w asemblerze, podczas gdy większość złośliwego oprogramowania tworzona jest w językach python, .NET lub C/C++. Zaprzecza to pierwszemu wrażeniu, że był to żart wykorzystany do zrzucenia winy na badaczy bezpieczeństwa. Azov to wyrafinowany wiper, który implementuje wiele nowoczesnych technik, wyraźnie pokazując, że korzystają z niego groźne grupy przestępcze.

Autorzy złośliwych narzędzi rozumieją, że szybkość szyfrowania danych jest często kluczowa dla sukcesu całego ataku. Po rozpoczęciu tego procesu ścigają się z zespołem reagowania na incydenty, który może wykryć naruszenie bezpieczeństwa w dowolnym momencie. W rezultacie cyberprzestępcy opracowali sposób optymalizacji wydajności swoich kampanii. Kod stosowany przy niektórych nowych rodzajach ataku ransomware zawiera obecnie architekturę, która umożliwia równoległe uruchamianie wielu wątków szyfrowania. Inni przestępcy zdali sobie sprawę, że szyfrowanie plików w całości jest czasochłonne i może nawet nie być konieczne. To wszystko pokazuje, że w 2023 r. należy spodziewać się kolejnych prób optymalizacji ataków, również tych z użyciem oprogramowania wymazującego dane. Zespoły odpowiedzialne za cyfrowe bezpieczeństwo powinny być o krok przed przestępcami oraz przygotować się na ewentualny kolejny wzrost zagrożenia narzędziami typu wiper.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie

Wybrane kategorie