Af Eskil Sørensen, 19/12/22
Verden skal til at vænne sig til en ny trussel: Wiper-malware
Sådan lyder advarslen fra Ars Technica i en længere artikel på baggrund af en rapport fra Check Point Research, der har kigget nærmere på Azov-malwaren, som beskrives som en ’effektiv, hurtig og desværre uoprettelig datawiper’, hvor filer slettes i blokke ved overskrivning med tilfældige data og efterlades i blokke af samme størrelse.
Det fremgår af rapporten, at der i løbet af det seneste år er dukket ødelæggende wiper-malware op fra ikke færre end ni familier og i den seneste uge er der katalogiseret mindst to mere. Begge indeholder avancerede kodebaser, der er designet til at påføre maksimal skade, som det hedder i Ars Technica-artiklen.
I tilfældet med Azov-malwaren er der dukket en note op, som det også ses ved ransomwareangreb, hvor der angiveligt fremføres pro-russiske synspunkter, herunder truslen om atomangreb. Der er altså tale om destruktive cyberangreb, hvor det bare går ud på at ødelægge.
Destruktion
Azov betegnes som en computervirus, der ændrer filer - i dette tilfælde tilføjer polymorf kode til bagdørs 64-bit eksekverbare filer - som angriber det inficerede system. Det er ifølge Ars Technica skrevet i et sprog, der gør malwaren mere effektiv i bagdørsprocessen. Ud over den polymorfe kode bruger Azov andre teknikker til at gøre detektion og analyse sværere. Samtidig er der indbygget en logisk bombe i koden, hvilket får Azov til at detonere på et bestemt tidspunkt ud over alle filmapper.
Indtil sidste måned var mere end 17.000 eksekverbare bagdøre blevet indsendt til VirusTotal. Det tyder på, skriver Ars Technica, at malwaren har spredt sig bredt.
Azov følger dermed i rækken af andre wipere som fx Fantasy og Sandaler-malwaren, der fornyligt er blevet afsløret af sikkerhedsfirmaet ESET. Disse stykker malware har været spredt ved et supply-chainangreb, der angiveligt misbrugte infrastrukturen hos et israelsk firma, der udvikler software til diamantindustrien. I løbet af 2½ time spredte Fantasy og Sandaler sig til softwareproducentens kunder i Sydafrika, Israel og Hong Kong. Også sikkerhedsfirmaet Kaspersky har fundet en ny Wiper, CryWiper, der har angrebet domstole og borgmesterkontorer i Rusland.
Breder sig
Rapporterne om wipermalware kommer, efterhånden som destruktiv malware er blevet mere og mere almindelig i løbet af det sidste årti. Wipermalware er som bekendt designet til en ting: At ødelække data og gøre uoprettelig skade. Det sås bl.a. i 2012, hvor en wiper kendt som Shamoon angreb Saudi-Arabiens Saudi Aramco og Qatars RasGas. Fire år senere vendte en ny variant af Shamoon tilbage og ramte flere organisationer i Saudi-Arabien.
Den første alment kendte wiper var NotPetya, der ramte verden i 2017. Det var en en selvreplikerende malware, som ramte Ukraine og siden bredte sig over hele verden. NotPetya forårsagede skade på 10 milliarder dollars, hvilket gør den til det dyreste cyberangreb i historien.
I det seneste år er en byge af nye wipere dukket op, fx DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 og RuRansom.
De er næppe de sidste.