הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של PathWiper

תוכנה זדונית של PathWiper

עד Mezo ב-תוכנה זדונית
לתרגם ל:

זן חדש של תוכנה זדונית הרסנית, המכונה PathWiper, זוהה במתקפות סייבר ממוקדות נגד תשתיות קריטיות באוקראינה. מטרתו העיקרית ברורה: לשבש ולשתק יכולות מבצעיות בתוך המדינה.

פריסה חשאית באמצעות כלים לגיטימיים

תוקפים פרסו את מטען PathWiper באמצעות כלי ניהול נקודות קצה לגיטימי. שיטת אספקה זו מרמזת על כך שגורמי האיום כבר השיגו גישה מנהלית למערכות הממוקדות באמצעות פשרה קודמת, דבר המדגיש את התחכום והתכנון שמאחורי ההתקפה.

ייחוס: יריב מוכר חוזר

חוקרי אבטחת סייבר שחקרו את האירוע ייחסו את המתקפה בביטחון רב לאיום מתמשך מתקדם (APT) הקשור לרוסיה. הטקטיקות, הטכניקות והנהלים (TTP) שנצפו דומים מאוד לאלה של Sandworm, קבוצת איומים ידועה שהייתה אחראית בעבר לפריסת HermeticWiper באוקראינה.

PathWiper: יורש סביר של HermeticWiper

ל-PathWiper יש קווי דמיון משמעותיים עם HermeticWiper, דבר המצביע על כך שייתכן שמדובר בהתפתחות של תוכנה זדונית קודמת זו. שתיהן שואפות לגרום נזק מקסימלי על ידי השחתת נתוני מערכת קריטיים, והחפיפה בהתנהגות מרמזת על מעורבות של אותם אשכולות איומים או אשכולות איומים קרובים.

שרשרת התקפה רב-שלבית

התוכנה הזדונית מבוצעת באמצעות תהליך רב-שלבי:

  • קובץ אצווה של Windows מפעיל VBScript זדוני (uacinstall.vbs).
  • הסקריפט משמיט ומבצע את מטען הליבה (sha256sum.exe), במסווה של כלי ניהול לגיטימי כדי להתחמק מגילוי.

ספירת כוננים מתקדמת וחבלה בנפחים

בניגוד ל-HermeticWiper, שהתמקדה בספירת כוננים פיזיים, PathWiper הולכת צעד קדימה על ידי זיהוי תכנותי של כל הכוננים המחוברים, כולל אמצעי אחסון מקומיים, רשתיים ומנותקים. לאחר מכן היא ממנפת ממשקי API של Windows כדי לנתק אמצעי אחסון אלה כהכנה לחבלה.

התוכנה הזדונית יוצרת הליכים (threads) עבור כל אמצעי אחסון כדי להחליף מבני NTFS חיוניים, ובכך למעשה להפוך את המערכות לבלתי ניתנות להפעלה.

השמדה ממוקדת של קבצי מערכת ליבה

בין רכיבי המערכת ש-PathWiper משחית נמצאים:

  • MBR (רשומת אתחול ראשית): מכיל את טוען האתחול וטבלת מחיצות.
  • $MFT (טבלת קבצים ראשית): מתחזק את האינדקס של כל הקבצים והתיקיות.
  • $LogFile: עוקב אחר שינויים לצורך שלמות ושחזור.
  • $Boot: מאחסן מידע על סקטור האתחול ומערכת הקבצים.

בנוסף, חמישה קבצי מטא-דאטה קריטיים נוספים של NTFS מוחלפים בבתים אקראיים, מה שמבטיח עוד יותר שלא ניתן יהיה לשחזר את המערכות שנפגעו.

אין כופר, אין דרישות - רק הרס

ראוי לציין כי ההתקפות בהן מעורבת PathWiper אינן כוללות שום צורה של סחיטה או דרישת כופר. היעדרות זו מאשרת את המטרה העיקרית: שיבוש מוחלט של הפעילות, ולא רווח כספי.

מגבים: כלי חוזר בלוחמה היברידית

מאז תחילת המלחמה באוקראינה, כלי ניקוי נתונים הפכו לסימן היכר של פעולות הסייבר הרוסיות. כלים אלה נפרסו בקמפיינים רבים עם השפעה הרסנית. כלי ניקוי בולטים נוספים ששימשו בקמפיינים של תקיפות שזוהו כוללים: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain ועוד.

כל אחד מאלה מילא תפקיד באסטרטגיה רחבה יותר של ערעור יציבות התשתיות האוקראיניות באמצעות לוחמת סייבר.

סיכום: PathWiper מסמן אבולוציה מסוכנת

PathWiper מדגים את ההסלמה המתמשכת בכלי הסייבר ההרסניים המופעלים נגד אוקראינה. עם טכניקות התחמקות מתקדמות, חבלה עמוקה ברמת המערכת וייחוס המצביע על מערכות APT רוסיות ידועות, הוא מייצג איום משמעותי בנוף הסכסוך הקיברנטי המודרני.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
34,942
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...