Wiper w świecie cyberprzestępczości debiutował wiele lat temu, ale dopiero w zeszłym roku zrobiło się o nim głośno. Pojawienie się kilku jego nowych wariantów uznano za alarmujące. To złośliwe oprogramowanie jest jeszcze niebezpieczniejsze od ransomware’a, gdyż bezpowrotnie usuwa dane.

Wiper to rodzaj malware’u, którego celem jest po prostu destrukcja (ang. „wipe” znaczy wycierać, zamazywać). Niszczy całe serwery i znajdujące się na nich dane. Dlatego jest taki groźny. Nie ma mowy, jak w przypadku ransomware’a, o odzyskiwaniu danych dzięki wpłaceniu okupu i uzyskaniu klucza deszyfrującego. Choć czasem, by spiętrzyć trudności, to złośliwe oprogramowanie udaje ransomware’a.

Polityczne tło

Nagły wzrost ataków typu wiper zaobserwowano w 2022 r., co wiązało się z inwazją Rosji na Ukrainę. Jak wiadomo, równolegle z działaniami na froncie toczyła i toczy się cyberwojna. Działania cyberprzestępców, a nawet całych gangów, stały się niemal równie ważne jak te prowadzone w terenie. Złośliwe oprogramowanie typu wiper eksperci cyberbezpieczeństwa wykryli w zasadzie jeszcze zanim do Ukrainy wjechały rosyjskie czołgi. W pierwszej połowie 2022 r. specjaliści z Fortinetu zidentyfikowali siedem nowych wariantów programów kasujących dane. Użyto ich w atakach na instytucje rządowe, wojskowe i prywatne na terenie Ukrainy. Przyrost był nagły i całkiem spory, bo podobną liczbę wariantów tego oprogramowania zidentyfikowano w ciągu ostatnich 10 lat.

Dość zaskakujące okazało się natomiast to, jak wiele z tych ataków przeniosło się do innych krajów, co zdarzało się już w poprzednich okresach konfliktu w tym regionie. Eksperci z FortiGuard Labs zarejestrowali ataki w 24 innych państwach, m.in. w Turcji, Włoszech, Szwajcarii czy Niemczech. I jak wynika z opublikowanego przez nich raportu „Global Threat Landscape Report”, od początku konfliktu w lutym 2022 r. więcej incydentów z użyciem tego złośliwego oprogramowania wykryto poza Ukrainą niż na jej terytorium. Jeden z przykładów to wykorzystywany na terenie tego państwa AcidRain, który spowodował wyłączenie prawie 6 tys. turbin wiatrowych w Niemczech. „Trend pojawiania się nowych wariantów złośliwego oprogramowania typu wiper ujawnia niepokojącą ewolucję w kierunku bardziej destrukcyjnych i wyrafinowanych technik ataku, które niszczą dane poprzez ich skasowanie. Nie są one ograniczone do jednego celu lub regionu i będą wykorzystywane w różnych przypadkach, kampaniach i celach” – mówi Derek Manky z FortiGuard Labs.

Jeden cel, różne motywy

Atakujący za pomocą wipera zawsze mają ten sam cel – usunięcie danych. Natomiast ich motywacje mogą być różne: uzyskanie korzyści finansowych, sabotaż, niszczenie dowodów czy cyberwojna.
Przykład sabotażu to kasujący dane robak Stuxnet, który we wrześniu 2010 r. utrudnił Iranowi rozwijanie broni atomowej. Podobnie motywowany atak przeprowadzono w sierpniu 2012 r. za pomocą wirusa Shamoon – zniszczono wówczas dane na 30 tys. komputerów w biurach państwowego koncernu paliwowo-chemicznego Saudi Aramco w Arabii Saudyjskie

j.
Wiper może być też wykorzystywany jako ransomware w celu wyłudzenia pieniędzy od ofiar. Dobrym przykładem jest tu swego rodzaju ewolucja wirusa Petya, wypuszczonego początkowo jako ransomware (w 2016 r.). Pierwsza wersja Petyi była dość prostą formą oprogramowania szantażującego. Za klucz deszyfrujący umożliwiający odzyskanie zaszyfrowanych (lub przechowywanych jako okup) na zainfekowanym komputerze plików należało zapłacić 300 dol. w bitcoinach. W 2017 r. pojawiła się nowa wersja Petyi, o nazwie NotPetya (Petya V2), której celem było całkowite wyłączenie systemu. Złośliwy kod trwale zaszyfrowywał główną tabelę plików (MFT) i główny rekord rozruchowy (MBR). NotPetya miała globalny zasięg – ataki zarejestrowano w Rosji, Ukrainie, Francji, Niemczech, Włoszech, Polsce, Wielkiej Brytanii i Stanach Zjednoczonych – i nieoficjalnie wiadomo, że ucierpiały z jej powodu m.in. FedEx, Uniwersytet Montrealski, Deutsche Bahn, a zwłaszcza brytyjska Narodowa Służba Zdrowia (NHS).

Innym przykładem wykorzystywania wipera dla okupu było aktywne w 2019 r. w Niemczech złośliwe oprogramowanie o nazwie GermanWiper. Niszczyło ono pliki, a następnie zmieniało tło pulpitu na urządzeniu, by wyświetlić numer konta, na który należało przelać pieniądze. GermanWiper nie szyfrował danych, ale i tak ich odzyskanie okazywało się niemożliwe.

I na koniec spójrzmy na 2022 r., w którym wiper zaczął się niepokojąco mnożyć (patrz wykres). W kilkudziesięciu systemach w ukraińskim sektorze finansowym i energetycznym zidentyfikowano wówczas złośliwe oprogramowanie CaddyWiper. Nie ma ono powiązań z organizacjami hakerskimi pracującymi dla okupu, chodzi jedynie o destrukcję celu. Kod źródłowy wirusa zaprojektowano tak, aby skutecznie uszkadzać system poprzez usuwanie newralgicznych danych użytkownika, programów oraz innych plików z dysków twardych. W pewnych sytuacjach CaddyWiper jest w stanie uszkodzić tablicę partycji na dysku.

Inne przykłady, o jakich raportuje FortiGuard Labs, to: WhisperGate, odkryty przez Microsoft, wykorzystywany w atakach na podmioty ukraińskie w styczniu 2022 r.; HermeticWiper, narzędzie do wywoływania awarii systemu operacyjnego, oraz IsaacWiper, złośliwe narzędzie do nadpisywania danych na dyskach oraz w podłączonych pamięciach masowych, aby uniemożliwić ich działanie. Trzy inne wipery, które zaobserwowano w pierwszej połowie 2022 r., skierowane na ukraińskie firmy i infrastruktury, to WhisperKill, DoubleZero oraz AcidRain.

[...]