מתקפת Wiper – כשהמטרה אינה כסף אלא השמדה
בשנים האחרונות עולם הסייבר התרגל לשמוע על Ransomware נוזקות שמצפינות מידע ודורשות כופר אבל יש איום אחד מסוכן יותר אכזרי יותר וכזה שלא משאיר מקום למשא ומתן Wiper!
מה זה בעצם Wiper?
Wiper הוא סוג של נוזקה שמטרתה להשמיד מידע לחלוטין מחיקה או דריסה של קבצים השחתת מערכת הקבצים כתיבה ישירה ל MBR או GPT מחיקת דיסקים מחוברים כולל iSCSI SAN ו NAS.
בניגוד ל Ransomware אין הצפנה אין מפתח אין כופר ואין דרך לשחזר את המידע שנמחק.
המטרה אינה רווח כלכלי אלא השבתה פגיעה תפעולית ונזק אסטרטגי
דוגמאות אמיתיות מהעולם:
- Shamoon פגע בחברות נפט במזרח התיכון ומחק עשרות אלפי תחנות
- NotPetya הוצג כ Ransomware אך בפועל היה Wiper שהשבית ארגונים גלובליים
- WhisperGate שימש נגד גופים באוקראינה עם מחיקה מכוונת של מערכות
איך מתקפת Wiper נראית בפועל תרחיש טיפוסי:
התוקף משיג גישה ראשונית דרך RDP סיסמה חלשה או פישינג
נוצר משתמש חדש במערכת לצורך Persistence
מתבצעת תנועה לרוחב ברשת
התוקף מזהה Storage קריטי למשל iSCSI
מופעל Wiper שמוחק את הדיסק או משכתב אותו הארגון מתעורר למערכות מושבתות בלי יכולת שחזור
במקרים רבים הדיסק המקומי נשאר תקין אבל האחסון המשותף מושמד מה שמפיל עשרות מערכות בבת אחת.
למה Wiper כל כך מסוכן?
- מהירות מחיקה תוך שניות או דקות
- תחכום – לעיתים מופעל ידנית על ידי תוקף חי אשר עוקב אחר ההתנהלות
- קשה לזיהוי מוקדם – שכן אין קובץ זדוני קלאסי
- אין יכולת התאוששות בלי גיבוי מבודד – הנזק קבוע
האם XDR או EDR יכול לעצור Wiper
כן אבל לא תמיד
מערכות EDR ו XDR יכולות לזהות כתיבה חריגה לדיסקים לעצור תהליך בזמן אמת לנתק תחנה מהרשת ולמנוע התפשטות
אבל אם ה Wiper כבר התחיל לפעול על דיסק קריטי המירוץ הוא נגד הזמן
איך מתגוננים באמת שכבות הגנה קריטיות
- בידוד רשת ל iSCSI ו SAN
- הרשאות מינימליו תאימות CHAP ל iSCSI
- Snapshots בלתי ניתנים למחיק
- הגיבויים מנותקים
- ניטור יצירת משתמשים ו RDP
- Incident Response מתורגל מראש
השורה התחתונה
Wiper הוא לא עוד נוזקה זה נשק סייבר
הוא לא בא לקחת כסף הוא בא להשבית לפגוע ולהרוס
מי שלא נערך מראש מגלה את זה מאוחר מדי
“`