Russischer Scheibenwischer Malware ist neu - sich dagegen zu schützen muss nicht sein

Februar 25, 2022
Oliver Tavakoli
Chief Technology Officer
Russischer Scheibenwischer Malware ist neu - sich dagegen zu schützen muss nicht sein

Da die russischen Aktivitäten in der Ukraine über eine erhöhte Spannung hinaus in eine vollständige Invasion übergegangen sind, wurde das Schlachtfeld sowohl in physischen als auch in Cyber-Arenen ausgetragen. Zu diesem Zweck wurden neuartige Wischer malware eingesetzt, die russischen staatlichen Akteuren zugeschrieben werden, um ukrainische Anlagen und Infrastrukturen zu zerstören und zu beeinträchtigen, aber der Explosionsradius wird mit ziemlicher Sicherheit nicht auf diese Ziele beschränkt sein.

Für Organisationen, die sich direkt oder indirekt im Fadenkreuz dieses Konflikts befinden könnten, gibt es praktische Schritte, die sie zu ihrem Schutz unternehmen sollten.


Ransomware und Wiper Malware sind eng miteinander verbunden.

Dieser Wischer malware ist eng mit dem Ransomware verwandt, den wir alle in den letzten Jahren kennengelernt haben. Der einzige wirkliche Unterschied liegt im Endziel - der unwiderruflichen Zerstörung von Daten und der Zugänglichkeit von Systemen. Daher sollten wir uns auf die Lehren stützen, die wir aus den Ransomware Angriffen der letzten Jahre gezogen haben - insbesondere aus den Angriffen, die russischen Gruppen zugeschrieben werden oder mit ihnen in Verbindung stehen.

Wie die Angriffe von Ransomware nutzt auch die Wiper-Kampagne malware in der Regel Angriffe auf von außen zugängliche Dienste, um im Netzwerk eines Unternehmens Fuß zu fassen. Von dort aus werden C2-Kanäle eingerichtet (einschließlich Web-Shells in der DMZ), um eine kontinuierliche Kontrolle zu gewährleisten. Sobald sie Fuß gefasst haben, geben die Angreifer ihre Anmeldedaten preis.

und nutzen sie, um ihren Zugang in der Umgebung zu erweitern und ihre Fähigkeit, Schaden anzurichten, zu maximieren. In der letzten Phase des Angriffs wird der Wischer malware aktiviert, um das System funktionsunfähig zu machen. Angreifer führen diese letzte Phase durch, wenn sie ihre Reichweite maximiert haben oder wenn sie gewarnt werden, dass sie entdeckt wurden und Gefahr laufen, die Kontrolle zu verlieren.

Bei jedem Schritt auf dem Weg von einem kompromittierten System zu einem ganzen Netzwerk kompromittierter Systeme geht es darum, die endgültigen Auswirkungen zu maximieren. Angreifer sind dazu nur in der Lage, indem sie ihren ersten Angriffspunkt nutzen, um sich durch das Netzwerk zu bewegen und ihren Zugang so weit wie möglich auszudehnen.

Die Techniken, die zur Ausweitung der Kontrolle und der Auswirkungen eingesetzt werden, sind dieselben, die wir seit Jahren beobachten - die Verwendung von Zugangsdaten auf kompromittierten Systemen, um Zugang zu neuen Systemen zu erhalten, die wiederum Zugang zu noch mehr Zugangsdaten bieten, und so weiter - bis sie (im Idealfall) die vollständige Kontrolle über die Umgebung haben.

Ein berichtetes Opfer der Wiper-Angreifer berichtete , dass sein Domain Controller durch diese Technik kompromittiert wurde, was die Angreifer dann dazu nutzten, den Wiper malware auf alle Systeme zu verteilen und auszuführen. Wir haben gesehen, dass Ransomware -Betreiber diese Technik wiederholt eingesetzt haben.

Wie bei Ransomware erwarten wir, dass sich die offengelegten IOCs und die verwendete malware im Laufe der Zeit ändern werden. Für Angreifer ist es leicht, diese Änderungen schnell vorzunehmen. Umgekehrt ist es unwahrscheinlich, dass sich die Techniken ändern, die Angreifer verwenden, um malware einzuschleusen und maximale Wirkung in einer Umgebung zu erzielen.


Praktische Schritte zum Schutz vor russischen Wischern Malware

Letztlich handelt es sich bei diesen Bedrohungen um Zerstörungsabsichten, und Unternehmen tun gut daran, ihre Widerstandsfähigkeit zu verbessern und Pläne für eine schnelle Wiederherstellung zu erstellen. Es gibt praktische Schritte, von denen viele keine neuen Empfehlungen sind, die aber vielleicht noch irgendwo in Ihrem Unternehmen schlummern. In Anbetracht der veränderten Bedrohungslage schlagen wir vor, dass Unternehmen ihre Risikokalkulation überdenken und einige oder alle der folgenden Änderungen vornehmen.

  • Entfernen Siedie niedrig hängenden Früchte. Patchen und schützen Sie öffentlich zugängliche Anlagen. Öffentlich zugängliche Anlagen mit bekannten ausnutzbaren Schwachstellen sind leichte Ziele, und das Patchen dieser Anlagen muss oberste Priorität haben. Die CISA führt eine gute Liste mit diesen Schwachstellen. In ähnlicher Weise müssen Konten für den VPN-Zugang und öffentliche Anmeldeportale oder SaaS-Dienste durch eine mehrstufige Authentifizierung geschützt werden.
  • ‍Kontrolleder DMZ. Genehmigter ausgehender Datenverkehr aus der DMZ des Netzwerks muss explizit auf eine Whitelist gesetzt werden, um es einem Angreifer zu erschweren, dort Fuß zu fassen. Eine solche Whitelist kann aufwendig zu pflegen sein, erschwert es einem Angreifer jedoch erheblich, von der DMZ aus effektiv die Befehls- und Kontrollfunktionen auszuführen.
  • ‍Vertrauenund geringste Rechte. Wir beziehen dies oft auf administrative Anmeldeinformationen, aber in diesem Fall sollten Sie es durch die Brille Ihrer öffentlich zugänglichen Systeme und des restlichen Netzwerks betrachten. Das kumulierte Risiko aus all den Zeiten, in denen Systeme und Konten übermäßig privilegiert waren, um die Bereitstellung und den Betrieb zu erleichtern, ist oft ein Schlüsselfaktor, der den Angriff ermöglicht.
  • Behalten Siedie Köpfe Ihrer Mitarbeiter im Spiel. Erzwingen Sie, wenn möglich, Auszeiten, wenn Sie sich nicht im Krisenmodus befinden. Ein ständiger Zustand erhöhter Alarmbereitschaft ist stressig und erhöht die Wahrscheinlichkeit, dass Fehler gemacht oder wichtige Indikatoren übersehen werden. Machen Sie sich bewusst, dass die Reaktion auf Cybervorfälle sehr stressig ist.
  • Planen Siefür Out-of-Band-Kommunikation. Zu den kompromittierten IT-Systemen könnten auch die Systeme gehören, die Sie für die interne Kommunikation nutzen (E-Mail, Chat usw.), wodurch Ihre Verteidigungsmöglichkeiten weiter eingeschränkt werden. Planen Sie für diesen Fall vor und investieren Sie in sichere Backup-Kommunikation. Apps wie Signal sind nicht ohne Grund so beliebt.
  • ‍Vertrauen Sie in Ihren Wiederherstellungsplan. Allzu oft beruhen die Wiederherstellungspläne für IT-Systeme auf einer Kombination aus aktuellem Optimismus und ungenauen historischen Informationen. Es ist an der Zeit, diese zu entstauben und Angriffssimulationen durchzuführen, insbesondere für geschäftskritische Systeme wie E-Mail.


Wenn Sie ein Ziel sind oder angegriffen werden, werden wir Ihnen kostenlos helfen

Unser Ziel ist es, die Welt sicherer und gerechter zu machen. Daran halten wir fest. Wenn Ihre Organisation aufgrund dieses Konflikts angegriffen wird, werden wir kostenlos helfen.


Wir glauben, dass fortschrittliche Erkennungs- und Reaktionsfähigkeiten zu den wichtigsten Fähigkeiten gehören, die Unternehmen einsetzen müssen, um die nötige Widerstandsfähigkeit gegen die aktuelle Generation von Cyberwaffen zu erreichen. Und wir glauben, dass wir als Branche die Erfahrungen, die wir im Laufe der Jahre bei der Eindämmung, Erkennung und Reaktion auf Ransomware Vorfälle gemacht haben, nutzen müssen, um das Problem, mit dem wir heute konfrontiert sind, in den Griff zu bekommen - allerdings mit einer Dringlichkeit und der Bereitschaft, Eindämmungen, Kontrollen, Erkennungsfunktionen und Reaktionen zu implementieren, die andernfalls vielleicht als zu störend empfunden worden wären.

Häufig gestellte Fragen