Os Wipers estão aumentando: eis por que isso é importante

No primeiro semestre deste ano, os pesquisadores observaram uma tendência crescente de malware de limpeza sendo implantado em paralelo com a guerra Rússia-Ucrânia. No entanto, esses limpadores não permaneceram em um só lugar – eles estão emergindo globalmente, o que ressalta o fato de que o cibercrime não conhece fronteiras. 

Não são apenas os números que estão crescendo; também estamos vendo um aumento na variedade e sofisticação. Essas variedades Wiper também estão cada vez mais voltadas para a infraestrutura crítica.

Lavado com limpadores 

A guerra na Ucrânia, sem dúvida, alimentou um grande aumento no uso de malware de limpeza; A pesquisa do FortiGuard Labs identificou pelo menos sete novas variantes de limpador no primeiro semestre de 2022 que foram usadas em campanhas direcionadas a organizações governamentais, militares e privadas. Isso é quase o mesmo número de variantes do limpador que foram detectadas publicamente no total desde 2012, quando malfeitores usaram o limpador Shamoon para atacar uma empresa de petróleo da Arábia Saudita.

Essas variantes incluem as seguintes variantes:

•  CaddyWiper : os malfeitores usaram essa variante para limpar dados e particionar informações de unidades em sistemas pertencentes a um número seleto de organizações ucranianas logo após o início da guerra. 

•  WhisperGate : Descoberto pela Microsoft em meados de janeiro sendo usado para atingir organizações na Ucrânia.

•  HermeticWiper : observada em fevereiro pelo SentinelLabs, esta ferramenta para acionar falhas de inicialização também foi encontrada visando organizações ucranianas

•  IsaacWiper : uma ferramenta de malware para sobrescrever dados em unidades de disco e armazenamento anexado para torná-los inoperáveis.

Também observamos três outras variantes visando empresas e organizações ucranianas: WhisperKill, Double Zero e AcidRain .

Limpadores sem bordas

A ação do limpador não se limita à Ucrânia. Detectamos mais malware de limpeza fora da Ucrânia do que dentro do país desde o início da guerra em fevereiro. Detectamos atividade de limpeza em 24 condados além da Ucrânia. 

Por exemplo, o AcidRain, que foi usado para atingir um provedor de serviços de banda larga via satélite ucraniano , também foi usado em um ataque que derrubou vários milhares de turbinas eólicas alemãs em março. O que isso significa? Isso mostra que ataques como esses podem ultrapassar fronteiras – sejam essas fronteiras entre países ou entre TI e OT.

As equipes de segurança corporativa precisam se preparar. Embora o número de detecções tenha sido menor até agora do que outros tipos de ataques cibernéticos, a própria natureza dos limpadores e como eles são usados ​​os torna muito perigosos. Os malfeitores usam o malware limpador para tudo, desde ganhos financeiros até sabotagem, destruição de evidências e guerra cibernética. O limpador original, Shamoon, mostrou claramente como os limpadores podem ser usados ​​como armas de sabotagem cibernética – e também mostrou como o mesmo limpador pode mostrar sua cara feia mesmo anos após sua primeira experiência. 

Variantes como GermanWiper e NotPetya revelaram como os limpadores podem ser usados ​​para tentar extorquir dinheiro das vítimas – como “fingindo” ser um ransomware. E NotPetya, como você provavelmente se lembra, originalmente tinha como alvo organizações ucranianas, mas rapidamente se espalhou para se tornar um dos ataques cibernéticos mais devastadores de todos os tempos. 

Não seja eliminado por produtos de limpeza

Uma coisa a considerar com os limpadores é se eles são autopropagados ou não. Se for um worm, como o NotPetya, ele pode se autopropagar para outras máquinas assim que for solto. E quando isso acontece, não pode ser controlado.

Em fevereiro, a CISA divulgou um alerta sobre a ameaça direta dos wipers e recomendou que “as organizações aumentem a vigilância e avaliem suas capacidades abrangendo planejamento, preparação, detecção e resposta para ataques de wiper”.

Para minimizar o impacto do malware wiper, uma das contramedidas mais úteis para as organizações são os recursos avançados de detecção e resposta integrados, orientados por IA e ML, alimentados por inteligência de ameaças acionável para proteção em todas as bordas das redes híbridas.

A segmentação de rede é outra contramedida, que pode ser usada em vários níveis. Ele pode manter o impacto de um ataque em apenas um segmento da rede, por exemplo, e limitar o movimento lateral. 

As organizações também devem considerar a tecnologia de engano , uma estratégia na qual os invasores cibernéticos são atraídos para longe dos verdadeiros ativos de uma empresa e, em vez disso, desviados para uma isca ou armadilha. A isca imita servidores, aplicativos e dados legítimos para induzir o mal-intencionado a pensar que se infiltrou na coisa real. 

Além disso, serviços como um serviço de proteção contra riscos digitais (DRPS) podem ajudar com avaliações externas de ameaças de superfície, remediar problemas de segurança e obter informações contextuais sobre ameaças iminentes.

Não economize na resposta a incidentes: caso sua organização seja atingida por um malware de limpeza, a velocidade e a qualidade da resposta a incidentes são essenciais. O resultado do ataque pode depender disso. A resposta a incidentes e os planos para ela não podem ser superestimados em termos de importância. Isso deve incluir processos definidos para continuidade de negócios sem TI e um plano de como a restauração de backups será feita e como lidar com a resposta a incidentes. 

olhando para frente

O que vimos com os ataques à Ucrânia – e outros – é que o wiper ware pode ser e está sendo usado para degradar e interromper a infraestrutura crítica. Isso está sendo feito como parte de esforços maiores de guerra cibernética. Outra tática comum que estamos vendo é que as amostras de malware do limpador às vezes “fingem” ser ransomware – aproveitando muitas das mesmas táticas, técnicas e procedimentos que o ransomware usa, mas sem a possibilidade de recuperar os arquivos. 

A conclusão aqui é que o limpador está sendo usado tanto para ganhos financeiros quanto para sabotagem cibernética – e pode ter consequências muito devastadoras. E só porque estamos vendo detecções comparativamente mais baixas do que outros tipos de ataques cibernéticos, não caia na armadilha de pensar que isso não pode afetá-lo.