Het jaar van de wiper

FortiGuard Labs heeft de ontwik­ke­lingen rond wiper­mal­ware op de voet gevolgd. In het begin van 2022 was er sprake van een plot­se­linge piek die samenviel met de start van de oorlog tussen Rusland en Oekraïne. Talloze nieuwe wipers waren op doel­witten in Oekraïne gericht en toonden een kant van cyber­aan­vallen die slechts zelden te zien is, namelijk totale verwoes­ting. In april 2022 publi­ceerde Fortinet een artikel om mensen een begrip te bieden van de context, geschie­denis en tech­ni­sche opzet van wiper­aan­vallen. Nu wordt er ingegaan op wat er in de rest van het jaar gebeurde en hoe wiper­mal­ware en de aanvalscenario’s zich hebben ontwikkeld.

Wipers als oorlogswapen

Veel varianten van wiper­mal­ware die in de eerste helft van 2022 geob­ser­veerd werden en niet altijd aan een speci­fieke groep cyber­cri­mi­nelen konden worden toege­schreven, waren gericht tegen Oekra­ïense organisaties. 

Een inte­res­sant fenomeen was de wiper­mal­ware AcidRain. Deze richtte zich op de satel­liet­mo­dems van een wereld­wijde aanbieder van commu­ni­ca­tie­ver­bin­dingen via de satelliet. AcidRain zorgde ervoor dat de modems hun verbin­ding met het satel­liet­net­werk verloren. De boodschap was duidelijk: ook als een cyber­aanval louter bedoeld is om een specifiek land zoals Oekraïne aan te vallen, kan er nog altijd een domino-effect optreden zodat ook andere landen en orga­ni­sa­ties worden getroffen. Het is van cruciaal belang om derge­lijke nieuwe aanvallen op de voet te volgen.

De beweegreden: hacktivisme

Naarmate het jaar vorderde nam het pro-Russische hack­ti­visme toe. Zo wees tele­me­tri­sche data op een groeiend aantal DDOS-aanvallen op Scan­di­na­vi­sche landen, en Finland in het bijzonder.

Cyber­cri­mi­nelen gingen over tot het omvormen van hun ransom­ware tot wipers door geen decryp­tie­sleutel te bieden. En als er geen ontsleu­te­ling van bestanden wordt aange­boden, fungeert ransom­ware in feite als een wiper. Cyber­cri­mi­nelen begonnen dit opzet­te­lijk te doen. 

Een voorbeeld was de inzet van de Somnia-ransom­ware tegen diverse Oekra­ïense orga­ni­sa­ties. De aanval­lers infec­teerden systemen met behulp van een valse versie van een instal­la­tie­pro­gramma om een lang­du­rige aanwe­zig­heid binnen systemen te verkrijgen. En net zoals bij de meeste ransom­ware-aanvallen smok­kelden ze data . Aan het einde van de aanval boden ze echter geen decryptor aan. Hierdoor bleven de bestanden versleu­teld en onbruikbaar.

De meest fascinerende wiper van het jaar

De meest intri­ge­rende wiper die Fortinet in de tweede helft van 2022 docu­men­teerde droeg de naam Azov. De tweede versie hiervan trok al snel de aandacht van de media, omdat die een boodschap namens bekende bevei­li­gings­on­der­zoe­kers afleverde. Deze onder­zoe­kers ontkenden echter alle betrok­ken­heid. De wiper leverde daarnaast een pro-Oekra­ïense boodschap af en beweerde te zijn ontwik­keld om meer aandacht te vragen voor de oorlog tussen Rusland en Oekraïne. Feit is echter dat Azov nog altijd niet tot een speci­fieke persoon of groep is herleid.

Aanvallen op operationele technologie (OT)

OT-omge­vingen werden eveneens door de nodige wipers getroffen. Eerder werd de aanval tegen de aanbieder van het satel­liet­net­werk al vermeld (en in het verlengde daarvan de aanval op Duitse wind­mo­lens). Een andere inte­res­sante aanval was die met de malware Industroyer.V2 op hoog­span­nings­sta­tions in Oekraïne. Deze aanval had ten doel om de elek­tri­sche relais zodanig te mani­pu­leren dat de hoog­span­nings­sta­tions uitvielen. Tradi­ti­o­nele wipers zijn uit op de vernie­ti­ging van de kroon­ju­welen van IT-omge­vingen, oftewel de data. Industroyer.V2 werd gebruikt om de kroon­ju­welen van het hoog­span­nings­sta­tion te vernie­tigen, namelijk de besturingseenheden.

Alsof dat niet erg genoeg was, werd de Industroyer.V2-malware ingezet in combi­natie met drie andere wipers die mogelijk van verschil­lende cyber­cri­mi­nelen afkomstig zijn: Caddy­Wiper voor Windows­sys­temen, AWFULSHRED voor Linux- en Unix­sys­temen en SOLOSHRED voor Sola­ris­sys­temen. Dit dient als herin­ne­ring dat OT-omge­vingen actief op de korrel worden genomen door uiteen­lo­pende typen cyber­cri­mi­nelen, van makers van ransom­ware tot staatshackers.

De ontwikkeling van een nieuwe wiper

Een inte­res­sant nieuw project dat onze aandacht verdient is de wiper Endurance, een open source wiper met de ogen­schijn­lijke ambitie om uit te groeien tot ransom­ware. Endurance beschikt momenteel over drie modi voor het wissen van bestanden. Elke modus bepaalt hoe vaak de inhoud van bestanden moet worden over­schreven. De wiper bezit een functie voor het verwij­deren van de inhoud van bestanden en een functie voor bestands­ver­wij­de­ring , deze werkt alle bestands­ken­merken bij en wist daarop bestanden van de schijf. 

Jaar van de wiper

2022 bood nieuwe perspec­tieven op verwoes­tende malware. Er werden verschil­lende wiping­tech­nieken, beweeg­re­denen, spelers en toepassingsscenario’s geob­ser­veerd. Nieuwe wiper­va­ri­anten zoals Azov en Endurance laten zien dat cyber­cri­mi­nelen zich actief toeleggen op steeds kwaad­aar­diger acti­vi­teiten. Ze proberen een oplossing te bieden voor de kortere detectie- en respons­tijden van secu­ri­ty­teams door het opti­ma­li­seren van de pres­ta­ties van hun wiping­stra­te­gieën. Daarnaast krijgen cyber­cri­mi­nelen steeds meer belang­stel­ling voor OT-netwerken. Dat blijkt onder meer uit het voorbeeld van de malware Industroyer.V2. Het is duidelijk welke kant het opgaat: cyber­cri­mi­nelen houden zich niet langer in en voeren hun aanvallen steeds vaker uit met één doel: het vernie­tigen van hun doelwit.