מתקפת wiper - כשהמטרה אינה כסף אלא השמדה ​

בשנים האחרונות עולם הסייבר התרגל לשמוע על Ransomware נוזקות שמצפינות מידע ודורשות כופר אבל יש איום אחד מסוכן יותר אכזרי יותר וכזה שלא משאיר מקום למשא ומתן Wiper!

מה זה בעצם Wiper?

Wiper הוא סוג של נוזקה שמטרתה להשמיד מידע לחלוטין מחיקה או דריסה של קבצים השחתת מערכת הקבצים כתיבה ישירה ל MBR או GPT מחיקת דיסקים מחוברים כולל iSCSI SAN ו NAS.

בניגוד ל Ransomware אין הצפנה אין מפתח אין כופר ואין דרך לשחזר את המידע שנמחק.

המטרה אינה רווח כלכלי אלא השבתה פגיעה תפעולית ונזק אסטרטגי

דוגמאות אמיתיות מהעולם: 

Shamoon פגע בחברות נפט במזרח התיכון ומחק עשרות אלפי תחנות

NotPetya הוצג כ Ransomware אך בפועל היה Wiper שהשבית ארגונים גלובליים

WhisperGate שימש נגד גופים באוקראינה עם מחיקה מכוונת של מערכות.

איך מתקפת Wiper נראית בפועל תרחיש טיפוסי:

התוקף משיג גישה ראשונית דרך RDP סיסמה חלשה או פישינג

נוצר משתמש חדש במערכת לצורך Persistence

מתבצעת תנועה לרוחב ברשת

התוקף מזהה Storage קריטי למשל iSCSI

מופעל Wiper שמוחק את הדיסק או משכתב אותו הארגון מתעורר למערכות מושבתות בלי יכולת שחזור. 

במקרים רבים הדיסק המקומי נשאר תקין אבל האחסון המשותף מושמד מה שמפיל עשרות מערכות בבת אחת.

למה Wiper כל כך מסוכן?

מהירות מחיקה תוך שניות או דקות

תחכום - לעיתים מופעל ידנית על ידי תוקף חי אשר עוקב אחר ההתנהלות. 

קשה לזיהוי מוקדם - שכן אין קובץ זדוני קלאסי

אין יכולת התאוששות בלי גיבוי מבודד - הנזק קבוע.

האם EDR או XDR יכול לעצור Wiper - כן אבל לא תמיד!!!

מערכות EDR ו XDR יכולות לזהות כתיבה חריגה לדיסקים לעצור תהליך בזמן אמת לנתק תחנה מהרשת ולמנוע התפשטות.

אבל אם ה Wiper כבר התחיל לפעול על דיסק קריטי המירוץ הוא נגד הזמן

איך מתגוננים באמת שכבות הגנה קריטיות בידוד רשת ל iSCSI ו SANהרשאות מינימליו תאימות CHAP ל iSCSI Snapshots בלתי ניתנים למחיק הגיבויים מנותקים ניטור יצירת משתמשים ו RDPIncident Response מתורגל מראש

השורה התחתונהWiper הוא לא עוד נוזקה זה נשק סייבר

הוא לא בא לקחת כסף הוא בא להשבית לפגוע ולהרוס

מי שלא נערך מראש מגלה את זה מאוחר מדי