什麼是 Wiper 惡意軟體?
擦除器是一種惡意軟體,可以刪除或破壞組織對檔案和資料的存取權限。此類惡意軟體通常用作破壞和破壞工具,因為關鍵資訊的遺失可能使組織無法維持業務運作或執行某些操作。
2022 年雨刷的使用量激增
擦除器並不是一種經常使用的惡意軟體,因為它們不為攻擊者提供獲利的機會。他們的主要目的是造成破壞和破壞,使它們成為國家參與者和黑客主義者更常見的工具。
2022 年,雨刷的使用量大幅激增。 在俄羅斯入侵烏克蘭期間,使用了許多雨刷來破壞烏克蘭政府,關鍵基礎設施和業務。 在一年內,至少有九個雨刷部署到該國
這些攻擊表明破壞性惡意軟體越來越多地被用作網路戰工具。過去,烏克蘭的關鍵基礎設施多次遭受 Industroyer 惡意軟體的攻擊。然而,在俄羅斯入侵前夕,一天內部署的三種新惡意軟體變體——HermeticWiper、HermeticWizard 和 HermeticRansom——出現了急劇上升。
雨刷如何工作?
擦拭器的目的是使數據無法訪問和無法使用。 然而,與勒索軟體不同的是,其目的並不是在支付贖金後恢復存取權限。Wiper 永遠銷毀數據,這可以通過幾種方式完成:文件的內容可以被加密或覆寫,或者攻擊者可以通過攻擊作業系統本身,使其無法訪問。
使用雨刷的原因
擦拭器不會賺錢,這是網絡攻擊的最常見動機。 攻擊者可能選擇使用雨刷的破壞力量的一些原因包括:
- 破壞:如果 Wiper 破壞重要數據或損壞重要軟件,組織可能無法繼續業務運作。
- 銷毀證據:Wiper 可用於銷毀攻擊者網絡攻擊、間諜或其他活動的證據,而他們不希望知道的證據。
- 網路戰爭:在與俄羅斯的衝突期間,針對烏克蘭組織部署了多種擦除器變體,這表明此類惡意軟體越來越多地被用作戰時破壞工具。
雨刷技術
雨刷的設計用於以幾種不同的方式破壞數據,包括以下:
- 覆寫文件:清除文件的最常見方法之一是用其他數據覆寫它們。 例如,檔案的內容可以用 NULL (0x00) 位元組或 1 個和 0 的隨機分類取代。
- 加密檔案:擦除器可以透過加密檔案並破壞原始版本來模仿勒索軟體。但是,擦拭器會破壞解密鑰,即使受害者支付贖金,即使受害者支付贖金,也無法解密數據和檢索內容。
- MBR 損毀:主開機記錄 (MBR) 會告訴電腦如何開機,因此損壞或覆寫它會使系統無法啟動。 但是,計算機的所有文件都保留在磁盤上,並且可以在初始中斷後恢復。
- MFT 損毀:主檔案表 (MFT) 是一個索引,指出電腦上的每個檔案儲存在其記憶體中的位置。 與 MBR 一樣,損壞 MFT 會使文件無法訪問,但如果它們保留在磁盤上,仍然可以恢復它們。
如何防止雨刷
組織可以採取各種步驟來保護自己免受擦拭器造成的數據丟失。 一些最佳做法包括以下內容:
- 資料備份:Wiper 旨在銷毀組織的資料,造成中斷。 如果組織有另一個副本,則攻擊的長期影響將最小化,因為可以從備份還原資料。
- 員工培訓:擦除器和其他類型的惡意軟體通常透過網路釣魚攻擊傳播。網絡意識培訓可以幫助員工識別和適當地回應試圖的雨刷感染。
- 電子郵件安全:電子郵件是網路釣魚內容最常見的傳遞媒介之一。電子郵件安全解決方案可以識別並封鎖包含惡意附件或傳播惡意軟體的網站連結的郵件。
- 補丁管理:雨刷還可以利用未打補丁的脆弱性來存取公司係統。迅速安裝更新和修補程式可協助在攻擊者惡意利用漏洞之前關閉這些漏洞。
- 帳戶安全:網路犯罪分子也可能使用受損的憑證遠端存取員工的帳戶並直接植入惡意軟體。實施多重身份驗證 (MFA) 和零信任安全原則可以降低成功攻擊的風險。
- 端點資安:端點資安解決方案可以偵測並阻止雨刷之類的惡意軟體。此外,這些解決方案可能有助於緩解和修復活躍感染。
使用 Check Point 偵測和預防 Wiper 惡意軟體
保護您的組織免受惡意軟體和其他網路威脅的第一步是了解當前的威脅情勢。要了解有關現代雨刷和2023 年其他主要網路安全挑戰的更多信息,請查看 Check Point 的2023 年網路安全報告。
Check Point Workspace Security Endpoint provides robust protection against wipers and other malware threats. Learn more about its capabilities by signing up for a free demo today.
