In de afgelopen jaren hebben we veel cyberaanvallen gezien met ransomware of malware die gevoelige gegevens buit probeert te maken. Kort voordat het Russische leger Oekraïne binnenviel werd daar een minder voorkomende malware-variant gevonden. Minder voorkomend betekent echter niet minder schadelijk. Deze malware maakt namelijk geïnfecteerde computers onklaar door alle bestanden te overschrijven en te wissen. Daarom heeft het de naam Wiper-malware gekregen.
Wiper-malware is niet nieuw: in het verleden is dit soort malware al vaker ingezet. Zoals echter met veel malware het geval is, zijn er ook nu weer nieuwe varianten wipers opgedoken. Het lijkt erop dat het doel van deze malware is om disruptie te veroorzaken op digitaal gebied in Oekraïne. De digitale wereld is echter nauw met elkaar verbonden. Het is daarom goed mogelijk dat deze malware op den duur ook verspreid zal worden buiten Oekraïne. Daarmee bestaat ook de kans dat deze malware bij ons in Nederland opduikt.
Wat doet de wiper-malware precies, en waarom is deze zo gevaarlijk? Daar gaan we in deze blog op in. Verder kijken we naar welke varianten er op dit moment bekend zijn, en welke maatregelen je kunt treffen om je organisatie te beschermen tegen de destructieve wiper-malware.
Totale vernieling
Wat is nou eigenlijk het verschil tussen ransomware en deze wiper-malware? Ransomware is een beruchte vorm van malware, die we inmiddels allemaal kennen. Met grote regelmaat worden organisaties getroffen. Bij een ransomware-aanval worden alle bestanden op een geïnfecteerde computer gegijzeld waardoor de computer (deels) buiten gebruik raakt. Na betaling van het losgeld worden ze echter weer vrijgegeven en kun je de betreffende computer weer gebruiken.
De wiper-malware maakt een geïnfecteerde computer, net als bij een aanval met ransomware, ook onklaar. Wat de wiper-malware zo gevaarlijk maakt is dat deze bestanden verwijdert of overschrijft in plaats van ze te gijzelen. Daarmee zijn geïnfecteerde computers permanent buiten gebruik en is in veel gevallen de data op deze computer ook onherstelbaar. Waar je bij een ransomware-aanval nog uitzicht hebt op het herstel van je data, heb je dat bij een aanval met wiper-malware niet.
Met een wiper zullen hackers vanwege het ontbreken van een herstelmogelijkheid niets verdienen. Ze hebben dan ook een ander motief. De wipers worden ingezet als digitaal bombardement. Waar landingsbanen van een vliegveld kunnen worden gebombardeerd om het vliegveld buiten werking te stellen, kunnen wipers computers van bedrijven of kritieke infrastructuur platleggen.
Alle soorten en maten
Er zijn inmiddels verschillende wipers gespot in het conflict tussen Rusland en Oekraïne. Zo zijn de HermeticWiper (ook wel bekend als FoxBlade of Killdisk.NCV) en WhisperGate wipers als eerste gezien. Recent is de IsaacWiper (ook wel bekend als Lasainraw) daar nog bij gekomen. De functionaliteit van deze malware is veelal hetzelfde: het onklaar maken van een computer.
De HermeticWiper en IsaacWiper malwares richten zich op het overschrijven van bestanden op de harde schijf van de geïnfecteerde computer. Vervolgens sluiten de malwares de computer af, waarna deze niet meer opstart. De WhisperGate malware werkt op een vergelijkbare manier. Deze malware is echter vermomd als ransomware. Hij overschrijft het MBR (Master Boot Record) van de geïnfecteerde computer met een ransom note die je vervolgens ziet wanneer je de computer op probeert te starten. De ransom note is hieronder afgebeeld en suggereert dat de computer nog te herstellen is. Echter is dat niet zo; alle bestanden zijn overschreven en verwijderd.
De wiper-malware wordt gebruikt als digitaal bombardement. Tijdens deze aanvallen zijn naast de wipers echter ook nog ransomware-varianten gevonden. Het gaat om de HermeticRansom en PartyTicket ransomware, voor beiden zijn inmiddels gratis decryptors beschikbaar. Mogelijk zijn deze ransomware-varianten gebruikt als afleiding voor de aanwezigheid van wiper-malwares.
De wipers ‘wipen’
Zoals eerder besproken zullen wiper-malwares de data op geïnfecteerde computers vernietigen. Herstel is dus niet meer mogelijk. Het is daarom des te belangrijker om een wiper-infectie te voorkomen.
Zorg ervoor dat uw organisatie de basis cyber-hygiëne op orde heeft. Denk daarbij aan het segmenteren van uw netwerk, encryptie, autorisatie en authenticatie. Daarnaast is het belangrijk om het cyberbewustzijn bij uw medewerkers te vergroten. Aanvullend is het in het geval van een wiper-infectie extra belangrijk om te zorgen voor volledige, zogeheten immutable back-ups die na het maken niet meer te wijzigen zijn (die u bij voorkeur ook extern/ offline opslaat). Dat is tenslotte de enige manier om de data op geïnfecteerde computers te herstellen.
Technische informatie (indicators of compromise)
Inmiddels zijn er talloze bronnen die technische indicatoren bijhouden over digitale dreigingen met betrekking tot de oorlogssituatie Oekraïne. We adviseren om onder andere de Github-pagina’s van Orange en Curated-Intel in de gaten te houden. Op deze Github-pagina’s worden nieuwe indicatoren snel toegevoegd zodat ze gebruikt kunnen worden in detectie bij bijvoorbeeld het SOC. Voor een algemeen overzicht over de cyberdreigingen in met betrekking tot de oorlogssituatie adviseren we om deze pagina te volgen. Doordat verschillende organisaties in binnen- en buitenland samenwerken komt er in zeer hoog tempo nieuwe informatie beschikbaar. We doen uiteraard ons uiterste best om de nieuwe indicatoren zo snel mogelijk te verifiëren en toe te voegen aan de systemen die wij inzetten binnen onze SOC-dienstverlening.
Hoe houdt u ransomware buiten de deur?
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.