Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό PathWiper

Κακόβουλο λογισμικό PathWiper

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Ένα νέο στέλεχος καταστροφικού κακόβουλου λογισμικού, με την ονομασία PathWiper, εντοπίστηκε σε στοχευμένες κυβερνοεπιθέσεις που στόχευαν σε κρίσιμες υποδομές στην Ουκρανία. Ο κύριος στόχος του είναι σαφής: να διαταράξει και να παραλύσει τις επιχειρησιακές δυνατότητες εντός της χώρας.

Αθόρυβη ανάπτυξη μέσω νόμιμων εργαλείων

Οι επιτιθέμενοι ανέπτυξαν το ωφέλιμο φορτίο PathWiper χρησιμοποιώντας ένα νόμιμο εργαλείο διαχείρισης τελικών σημείων. Αυτή η μέθοδος παράδοσης υποδηλώνει ότι οι απειλητικοί παράγοντες είχαν ήδη αποκτήσει διαχειριστική πρόσβαση στα στοχευμένα συστήματα μέσω προηγούμενης παραβίασης, υπογραμμίζοντας την πολυπλοκότητα και τον σχεδιασμό πίσω από την επίθεση.

Αναφορά: Ένας Γνωστός Αντίπαλος Επιστρέφει

Οι ερευνητές κυβερνοασφάλειας που διερευνούν το περιστατικό έχουν αποδώσει την επίθεση με μεγάλη βεβαιότητα σε μια προηγμένη μόνιμη απειλή (APT) που συνδέεται με τη Ρωσία. Οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) που παρατηρήθηκαν μοιάζουν πολύ με εκείνες της Sandworm, μιας γνωστής ομάδας απειλών που ήταν προηγουμένως υπεύθυνη για την ανάπτυξη του HermeticWiper στην Ουκρανία.

PathWiper: Ένας πιθανός διάδοχος του HermeticWiper

Το PathWiper παρουσιάζει σημαντικές ομοιότητες με το HermeticWiper, γεγονός που υποδηλώνει ότι μπορεί να αποτελεί εξέλιξη αυτού του προηγούμενου κακόβουλου λογισμικού. Και τα δύο στοχεύουν στην πρόκληση μέγιστης ζημιάς καταστρέφοντας κρίσιμα δεδομένα συστήματος και η επικάλυψη στη συμπεριφορά υποδηλώνει τη συμμετοχή των ίδιων ή στενά συνδεδεμένων ομάδων απειλών.

Μια αλυσίδα επιθέσεων πολλαπλών σταδίων

Το κακόβουλο λογισμικό εκτελείται μέσω μιας διαδικασίας πολλαπλών σταδίων:

  • Ένα αρχείο δέσμης των Windows ενεργοποιεί ένα κακόβουλο VBScript (uacinstall.vbs).
  • Το σενάριο αποσύρεται και εκτελεί το βασικό ωφέλιμο φορτίο (sha256sum.exe), μεταμφιεσμένο ώστε να μοιάζει με ένα νόμιμο εργαλείο διαχείρισης για να αποφύγει τον εντοπισμό.

Προηγμένη απαρίθμηση μονάδων δίσκου και σαμποτάζ όγκου

Σε αντίθεση με το HermeticWiper, το οποίο επικεντρώθηκε στην απαρίθμηση φυσικών μονάδων δίσκου, το PathWiper προχωρά ένα βήμα παραπέρα, αναγνωρίζοντας μέσω προγραμματισμού όλες τις συνδεδεμένες μονάδες δίσκου, συμπεριλαμβανομένων των τοπικών, δικτυακών και των αποσυνδεδεμένων τόμων. Στη συνέχεια, αξιοποιεί τα API των Windows για να αποσυνδέσει αυτούς τους τόμους ως προετοιμασία για δολιοφθορά.

Το κακόβουλο λογισμικό δημιουργεί νήματα για κάθε τόμο για να αντικαταστήσει βασικές δομές NTFS, καθιστώντας ουσιαστικά τα συστήματα μη λειτουργικά.

Στοχευμένη καταστροφή βασικών αρχείων συστήματος

Μεταξύ των στοιχείων του συστήματος που καταστρέφει το PathWiper είναι:

  • MBR (Master Boot Record): Περιέχει τον bootloader και τον πίνακα διαμερισμάτων.
  • $MFT (Κύριος Πίνακας Αρχείων): Διατηρεί το ευρετήριο όλων των αρχείων και των καταλόγων.
  • $LogFile: Παρακολουθεί τις αλλαγές για ακεραιότητα και ανάκτηση.
  • $Boot: Αποθηκεύει πληροφορίες για τον τομέα εκκίνησης και το σύστημα αρχείων.

Επιπλέον, πέντε άλλα κρίσιμα αρχεία μεταδεδομένων NTFS αντικαθίστανται με τυχαία byte, διασφαλίζοντας περαιτέρω ότι τα επηρεαζόμενα συστήματα δεν μπορούν να ανακτηθούν.

Χωρίς Λύτρα, Χωρίς Απαιτήσεις - Μόνο Καταστροφή

Αξίζει να σημειωθεί ότι οι επιθέσεις που αφορούν την PathWiper δεν περιλαμβάνουν καμία μορφή εκβιασμού ή απαίτησης λύτρων. Αυτή η απουσία επιβεβαιώνει τον πρωταρχικό στόχο: την πλήρη διακοπή των λειτουργιών και όχι το οικονομικό κέρδος.

Υαλοκαθαριστήρες: Ένα επαναλαμβανόμενο εργαλείο στον υβριδικό πόλεμο

Από την έναρξη του πολέμου στην Ουκρανία, τα εργαλεία διαγραφής δεδομένων (data wipers) έχουν γίνει σήμα κατατεθέν των ρωσικών κυβερνοεπιχειρήσεων. Αυτά τα εργαλεία έχουν αναπτυχθεί σε πολλαπλές εκστρατείες με καταστροφικά αποτελέσματα. Άλλα αξιοσημείωτα εργαλεία διαγραφής δεδομένων (data wipers) που χρησιμοποιούνται σε εκστρατείες εντοπισμένων επιθέσεων περιλαμβάνουν: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain και άλλα.

Κάθε ένα από αυτά έχει παίξει ρόλο σε μια ευρύτερη στρατηγική αποσταθεροποίησης των ουκρανικών υποδομών μέσω κυβερνοπολέμου.

Συμπέρασμα: Το PathWiper σηματοδοτεί μια επικίνδυνη εξέλιξη

Το PathWiper αποτελεί παράδειγμα της συνεχιζόμενης κλιμάκωσης των καταστροφικών κυβερνοεργαλείων που χρησιμοποιούνται εναντίον της Ουκρανίας. Με προηγμένες τεχνικές αποφυγής, βαθιά δολιοφθορά σε επίπεδο συστήματος και απόδοση ευθυνών σε γνωστές ρωσικές APT, αποτελεί σημαντική απειλή στο τοπίο των σύγχρονων κυβερνοσυγκρούσεων.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
34,942
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...