Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós de PathWiper

Programari maliciós de PathWiper

El Mezo el Programari maliciós
Traduir a:

S'ha identificat una nova soca de programari maliciós destructiu, anomenada PathWiper, en ciberatacs dirigits a infraestructures crítiques a Ucraïna. El seu objectiu principal és clar: interrompre i paralitzar les capacitats operatives del país.

Implementació discreta mitjançant eines legítimes

Els atacants van desplegar la càrrega útil PathWiper mitjançant una eina legítima d'administració de punts finals. Aquest mètode d'aplicació suggereix que els actors amenaçadors ja havien aconseguit accés administratiu als sistemes objectiu mitjançant un compromís previ, cosa que destaca la sofisticació i la planificació que hi ha darrere de l'atac.

Atribució: El retorn d’un adversari familiar

Els investigadors de ciberseguretat que investiguen l'incident han atribuït l'atac amb molta confiança a una amenaça persistent avançada (APT) vinculada a Rússia. Les tàctiques, tècniques i procediments (TTP) observats s'assemblen molt als de Sandworm, un grup d'amenaces conegut anteriorment responsable del desplegament d'HermeticWiper a Ucraïna.

PathWiper: un probable successor d’HermeticWiper

PathWiper comparteix similituds significatives amb HermeticWiper, cosa que suggereix que podria ser una evolució d'aquell programari maliciós anterior. Tots dos tenen com a objectiu infligir el màxim dany corrompent dades crítiques del sistema, i la superposició en el comportament implica la implicació dels mateixos clústers d'amenaces o d'altres estretament relacionats.

Una cadena d’atac de diverses etapes

El programari maliciós s'executa mitjançant un procés de diverses etapes:

  • Un fitxer per lots de Windows activa un VBScript maliciós (uacinstall.vbs).
  • L'script elimina i executa la càrrega útil principal (sha256sum.exe), disfressada per semblar una eina administrativa legítima per evadir la detecció.

Enumeració avançada d’unitats i sabotatge de volum

A diferència d'HermeticWiper, que se centrava en l'enumeració de les unitats físiques, PathWiper va un pas més enllà identificant programàticament totes les unitats connectades, inclosos els volums locals, de xarxa i desmuntats. A continuació, aprofita les API de Windows per desmuntar aquests volums en preparació per a sabotatges.

El programari maliciós genera fils d'execució per a cada volum per sobreescriure les estructures NTFS essencials, fent que els sistemes siguin inoperables.

Destrucció dirigida dels fitxers principals del sistema

Entre els components del sistema que PathWiper corromp hi ha:

  • MBR (Master Boot Record): Conté el carregador d'arrencada i la taula de particions.
  • $MFT (Taula mestra de fitxers): Manté l'índex de tots els fitxers i directoris.
  • $LogFile: Fa un seguiment dels canvis per a la integritat i la recuperació.
  • $Boot: Emmagatzema informació del sector d'arrencada i del sistema de fitxers.

A més, cinc altres fitxers crítics de metadades NTFS se sobreescriuen amb bytes aleatoris, cosa que garanteix que els sistemes afectats no es puguin recuperar.

Sense rescat, sense demandes: només destrucció

Cal destacar que els atacs que impliquen PathWiper no inclouen cap forma d'extorsió ni de demanda de rescat. Aquesta absència confirma l'objectiu principal: la interrupció total de les operacions, en lloc d'un guany econòmic.

Eixugaparabrises: una eina recurrent en la guerra híbrida

Des de l'inici de la guerra a Ucraïna, els esborradors de dades s'han convertit en un segell distintiu de les operacions cibernètiques russes. Aquestes eines s'han desplegat en múltiples campanyes amb efectes devastadors. Altres esborradors notables utilitzats en campanyes d'atac detectades inclouen: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain i més.

Cadascun d'aquests ha jugat un paper en una estratègia més àmplia de desestabilització de la infraestructura ucraïnesa mitjançant la ciberguerra.

Conclusió: PathWiper marca una evolució perillosa

PathWiper exemplifica l'escalada contínua de les eines cibernètiques destructives utilitzades contra Ucraïna. Amb tècniques d'evasió avançades, sabotatge profund a nivell de sistema i atribució que apunta a APT russes conegudes, representa una amenaça significativa en el panorama dels conflictes cibernètics moderns.

Tendència

Més vist

Carregant...