Hvad er wiper malware?

Wiper malware er en type malware, som ødelægger data på offerets computer ved at slette, overskrive og kryptere data.

12-12-2022 - 6 minutters læsning. Under kategorien: malware.

Hvad er wiper malware?

Wiper malware sletter, overskriver eller krypterer data og software, så det ikke længere er tilgængeligt for offeret. Wiper malware-angreb er destruktive af natur, da de ikke har en funktion, som kan genskabe dataen, når først den er slettet eller krypteret. Disse angreb udføres sjældent med henblik på en økonomisk gevinst for den kriminelle, og der gøres således sjældent krav på løsesum i denne type angreb. Men hvad er så pointen? Læs med her, hvor vi dykker ned i wiper malware med en masse facts og en enkelt case.

Formålet med wiper malware og motivationen bag

Wiper malware-angreb er som nævnt destruktive af natur. Det betyder, at den forventede effekt af denne type angreb er betydelig skade på eller komplet ødelæggelse af informationer, data eller software. Netop fordi den slettede eller ødelagte data sjældent kan genoprettes, er motivet bag angrebene sjældent økonomisk. Formålet med wiper malware-angreb er derimod ofte at dække sporene fra et separat datatyveri eller cyberangreb, eller simpelthen at forstyrre og ødelægge offerets systemer.

Man taler mere specifikt om fire typiske motivationer bag wiper malware-angreb:

  • Økonomiske gevinster: Økonomiske gevinster er som nævnt generelt sjældent en motivation bag wiper-angreb. Det skyldes selvfølgelig, at det ofte er svært at tjene penge på ødelæggelse. Men selvom formålet ofte ikke vil være at afkræve offeret en løsesum, vil man i nogle tilfælde kunne opleve, at bagmændene lader som om det er et ransomware-angreb, hvilket man kan kalde en ransomware scam. Derfor er det også særdeles vigtigt som offer at identificere hvilken type angreb, man er under angreb af, så man ikke betaler en løsesum i håbet om at få genskabt sin data. Ved et wiper malware-angreb vil dette nemlig slet ikke være muligt.
  • Ødelæggelse af beviser: Hvis man som organisation har været udsat for et wiper-angreb og har svært ved at regne ud, hvad grunden bag er, kan det være, at det er blevet gjort for at dække over en anden type angreb. Der kan fx være tale om, at bagmænd forsøger at skjule sporene efter spionage. På grund af omfanget af ødelæggelsen, vil offeret typisk fokusere på at genoprette mistet data fremfor at efterforske den egentlige motivation bag angrebet.
  • Sabotage: Sabotage er den mest indlysende motivation bag wiper-angreb, da det anvendes til at ødelægge data, sabotere udvikling af software, skabe finansielle tab og generelt til at skabe kaotiske tilstande.
  • Cyberkrig: Denne motivation er særdeles relevant i øjeblikket, da man i 2022 har set en betydelig stigning i antallet af wiper malware-angreb, særligt målrettet ukrainsk infrastruktur samt ukrainske myndigheder og virksomheder i krigen mellem Rusland og Ukraine. Her har det været meget tydeligt, at wiper-angreb mod ukrainske enheder har understøttet russiske interesser. Wiper-angreb kan således have en stor ødelæggende effekt på bl.a. kritisk infrastruktur, hvilket kan spille en vigtig rolle i en krig.

Sådan foregår wiper malware-angreb

Den mest basale fremgangsmåde i wiper-angreb er at overskrive udvalgte filer med data. Men krypteringer kan også spille en vigtig rolle, da cyberkriminelle kan kryptere filer og derefter slette nøglen til krypteringen, hvilket svarer til at slette filen. Dog er denne fremgangsmåde ressourcekrævende, og den gør malwaren langsommere, hvilket betyder, at det er en metode, der som regel kun gøres brug af, når bagmænd ønsker at opretholde en ransomware scam i længst mulig tid.

Helt lavpraktisk findes der to fremgangsmåder, hvorpå man kan ødelægge data: den logiske og den fysiske fremgangsmåde.

Den logiske fremgangsmåde ved sletning af data kender vi alle. Det er, når man flytter en fil til papirkurven og herefter sletter den fra papirkurven. Denne handling sletter genvejen til filen, men ikke selve fildataen, hvilket betyder, at man typisk vil kunne genskabe den ved hjælp af tekniske værktøjer, så længe man ikke overskriver filen på den samme fysiske lokation.

Fysisk sletning af data benyttes derimod af cyberkriminelle, når de udfører wiper malware-angreb. De ønsker nemlig at sikre sig, at dataen ikke kan genskabes, hvorfor de ødelægger dataen på det fysiske niveau på harddisken. Den mest effektive måde at gøre dette på, er ved at overskrive den specifikke fysiske lokation med anden data. Dette kan dog være en tidskrævende proces, hvorfor hackeren ofte vil lægge ud med at ødelægge følgende to filer i systemet:

  • Master Boot Record (MBR), som bliver brugt i boot-processen til at identificere, hvor styresystemet er lokaliseret på harddisken. Når MBR udskiftes, crasher boot-processen, hvilket gør filerne utilgængelige. Er MBR’en ødelagt, kan computeren tilmed ikke starte.
  • Master File Table (MFT) findes på NTFS-systemer og indeholder den fysiske lokation af filer i drevet samt metadata. I nogle tilfælde skal store filer fragmenteres i disken, når de forsøges lagret i drevet. MFT’en indeholder informationer om, hvor hver af disse fragmenter er lagret. Når hackeren fjerner MFT’en, vil det kræve tekniske værktøjer at genskabe små filer, mens fragmenterede filer ikke vil kunne genskabes, da forbindelsen mellem fragmenterne er ødelagt og dermed forsvundet.

I wiper-angreb vil bagmændene typisk gøre brug af en kombination af flere forskellige teknikker for at nå deres mål. Jo flere teknikker de gør brug af, desto mere mindskes sandsynligheden for, at dataen kan genoprettes.

Sådan minimerer man omfanget af skaden

Organisationer kan implementere forskellige tiltag for best practice, når det kommer til at minimere omfanget af skader fra wiper malware-angreb. Det er for eksempel vigtigt at have styr på følgende:

  • Backup: Backup er en vigtig sikkerhedsforanstaltning, når det kommer til wiper malware. Fordi malware ofte søger efter backups i systemer, er det vigtigt at gemme backup’en offline eller off-site, så den kan overleve et angreb.
  • Genopretningsplan: Det er vigtigt for organisationer at have en genopretningsplan i tilfælde af, at man skulle blive ramt af et cyberangreb, herunder et wiper-angreb. Hvordan vil man fx genoprette data fra en backup, og hvad er retningslinjerne for kommunikationen om angrebet? Spørgsmål som disse skal uddybes i en katastrofeberedskabsplan. Tempoet på og kvaliteten af organisationens reaktion på en sådan hændelse spiller også en vigtig rolle.

Case: WhisperKill

Den 14. januar 2022 oplevede den ukrainske regering et koordineret angreb på 22 statslige myndigheder og disses hjemmesider, som var udsat for defacement-angreb. Næsten alle disse hjemmesider var udviklet af den samme ukrainske IT-udvikler, Kitsoft, og alle var bygget på platformen OctoberCMS. Derfor tyder meget også på, at der var tale om et angreb på forsyningskæden og leverandøren, eller at en sårbarhed i OctoberCMS blev udnyttet.

Udover angrebene på hjemmesiderne kunne Microsoft Threat Intelligence Center identificere destruktiv malware målrettet ukrainske organisationer i en efterfølgende rapport.

Af rapporten fremgik det ligeledes, at der bl.a. havde været tale om et MBR-angreb kombineret med en ransomware scam. Motivet har højt sandsynligt været sabotage.

WhisperKill er dog kun ét ud af en række wiper malware-angreb mod ukrainske myndigheder og organisationer, som har fundet sted i 2022. Det vidner således om, at cyberangreb spiller en vigtig rolle i moderne krigsførsel.

Forfatter Emilie Hartmann

Emilie Hartmann

Emilie er ansvarlig for Moxsos content- og kommunikationsindsats. Hun brænder for at øge opmærksomheden på den menneskelige del af cybersikkerhed og forbinde mennesker og teknologi.

Se alle indlæg af Emilie Hartmann

Lignende indlæg