Специалисты «Лаборатории Касперского» проанализировали ежедневно обрабатываемые вредоносные объекты, обратив особое внимание на увеличение количества деструктивных программ типа Wiper. По итогам анализа эксперты подготовили обзор 5 самых заметных инцидентов, связанных с использованием подобных зловредов, действия которых за последние годы нанесли ощутимый ущерб целому ряду стран.

Как рассказали CNews в «Лаборатории Касперского», программы типа Wiper уничтожают данные, находящиеся на зараженном компьютере. «Несмотря на то, что в общем потоке вредоносного ПО их немного (в большинстве случаев зловреды применяются с целью наживы), за последние годы частота использования подобных программ заметно возросла», - отметили в компании.

Как показал анализ 5 случаев заражения, зловреды действуют разными методами. К примеру, поразивший немало жертв в 2012 г. Wiper уничтожал информацию на жестком диске. «По всей видимости, у Wiper было два метода атаки. Файлы с определенными расширениями заполнялись мусорными данными, а затем "замусоривался" весь жёсткий диск компьютера, - полагают в «Лаборатории Касперского». - Неизвестно, как это можно было выполнить, не вызвав сбоя системы. Возможные варианты: при загрузке подгружались вредоносные драйверы, либо происходило заражение вредоносным буткитом».

Техника Shamoon, атаковавшего более 30 тыс. компьютеров нефтяной компании в Саудовской Аравии, была аналогичной: эта программа стирала все данные с компьютера, выводя его из строя. Вариацию стратегии Shamoon продемонстрировал Groovemonitor/Maya, уничтожающий данные в определенные, прописанные в коде даты. По словам экспертов компании, это относительно простая вредоносная программа, действующая достаточно грубо.

А самый изощренный метод был реализован червем Narilam в ноябре 2012 г.: будучи нацеленным на используемые преимущественно в Иране программы работы с базами данных, червь незаметно искажал вносимые данные, и чем дольше он функционировал, тем более разрушительными оказывались последствия его работы. «В отличие от Wiper, Narilam - это программа, действующая медленно и рассчитанная на подрыв работы организации в долгосрочной перспективе, - пояснили эксперты. - Нам удалось обнаружить множество различных версий Narilam, некоторые из которых активны с 2008 года».

Наконец, в слаженной атаке против нескольких банков и медиакомпаний в Сеуле (Южная Корея) была применена программа Dark Seoul. Сообщения об атаках появились в мае 2013 г., однако стоящая за ними группа злоумышленников, по-видимому, начала активно действовать гораздо раньше - возможно, еще в начале 2009 г., полагают в компании.

Согласно статистике, большая часть атак программ типа Wiper за последние несколько лет была нацелена на Ближний Восток. Эти инциденты показали также, что подобное вредоносное ПО может применяться как высокоэффективное кибероружие - возможность удалить данные с десятков тысяч компьютеров нажатием кнопки или одним кликом мыши является мощным оружием для любой киберармии, считают эксперты «Лаборатории Касперского».

«Атаки в стиле Wiper в наши дни достаточно редки. Однако, учитывая, что каждый день появляется информация о новых пробелах в безопасности критически важной инфраструктуры, подобные атаки потенциально чрезвычайно опасны. В обозримом будущем они могут стать более популярными и, например, использоваться в качестве способа нанесения удара по критически важной инфраструктуре в точно выбранное время, что приведет к значительному ущербу», - подчеркнул Костин Раю, руководитель глобального центра исследований «Лаборатории Касперского».