Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver PathWiper

Zlonamjerni softver PathWiper

Do Mezo. Malware. godine
Prevedi na:

Novi soj destruktivnog zlonamjernog softvera, nazvan PathWiper, identificiran je u ciljanim kibernetičkim napadima usmjerenim na kritičnu infrastrukturu u Ukrajini. Njegov primarni cilj je jasan: poremetiti i osakatiti operativne sposobnosti unutar zemlje.

Prikriveno postavljanje putem legitimnih alata

Napadači su implementirali PathWiper paket koristeći legitimni alat za administraciju krajnjih točaka. Ova metoda isporuke sugerira da su akteri prijetnje već ostvarili administrativni pristup ciljanim sustavima putem prethodnog kompromitiranja, što naglašava sofisticiranost i planiranje iza napada.

Pripisivanje: Povratak poznatog protivnika

Istraživači kibernetičke sigurnosti koji istražuju incident s visokom sigurnošću pripisali su napad naprednoj perzistentnoj prijetnji (APT) povezanoj s Rusijom. Uočene taktike, tehnike i postupci (TTP) vrlo su slični onima Sandworm-a, poznate skupine prijetnji koja je prethodno bila odgovorna za primjenu HermeticWiper-a u Ukrajini.

PathWiper: Vjerojatni nasljednik HermeticWipera

PathWiper ima značajne sličnosti s HermeticWiperom, što sugerira da bi mogao biti evolucija tog ranijeg zlonamjernog softvera. Oba imaju za cilj nanijeti maksimalnu štetu oštećenjem kritičnih sistemskih podataka, a preklapanje u ponašanju implicira uključenost istih ili blisko povezanih klastera prijetnji.

Višestupanjski lanac napada

Zlonamjerni softver izvršava se kroz višefazni proces:

  • Windows batch datoteka pokreće zlonamjerni VBScript (uacinstall.vbs).
  • Skripta ispušta i izvršava osnovni teret (sha256sum.exe), prikrivena da nalikuje legitimnom administrativnom alatu kako bi izbjegla otkrivanje.

Napredno nabrajanje diskova i sabotaža volumena

Za razliku od HermeticWipera, koji se fokusirao na nabrajanje fizičkih diskova, PathWiper ide korak dalje programski identificirajući sve povezane diskove, uključujući lokalne, mrežne i odspojene volumene. Zatim koristi Windows API-je za odspojavanje tih volumena u pripremi za sabotažu.

Zlonamjerni softver stvara niti za svaki volumen kako bi prepisao bitne NTFS strukture, učinkovito onesposobljavajući sustave.

Ciljano uništavanje osnovnih sistemskih datoteka

Među komponentama sustava koje PathWiper oštećuje su:

  • MBR (glavni zapis pokretanja): Sadrži bootloader i tablicu particija.
  • $MFT (Master File Table): Održava indeks svih datoteka i direktorija.
  • $LogFile: Prati promjene radi integriteta i oporavka.
  • $Boot: Pohranjuje informacije o boot sektoru i datotečnom sustavu.

Osim toga, pet drugih kritičnih NTFS datoteka s metapodacima prepisuje se nasumičnim bajtovima, što dodatno osigurava da se pogođeni sustavi ne mogu oporaviti.

Nema otkupnine, nema zahtjeva - samo uništenje

Valja napomenuti da napadi koji uključuju PathWiper ne uključuju nikakav oblik iznude ili zahtjeva za otkupninu. Ta odsutnost potvrđuje primarni cilj: potpuno ometanje poslovanja, a ne financijsku dobit.

Brisači: Ponavljajući alat u hibridnom ratovanju

Od početka rata u Ukrajini, brisači podataka postali su zaštitni znak ruskih kibernetičkih operacija. Ovi alati korišteni su u više kampanja s razornim učinkom. Ostali značajni brisači podataka korišteni u kampanjama detektiranih napada uključuju: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain i druge.

Svaki od njih odigrao je ulogu u široj strategiji destabilizacije ukrajinske infrastrukture putem kibernetičkog ratovanja.

Zaključak: PathWiper označava opasnu evoluciju

PathWiper primjer je kontinuirane eskalacije destruktivnih kibernetičkih alata koji se koriste protiv Ukrajine. S naprednim tehnikama izbjegavanja, dubokom sabotažom na razini sustava i atribucijom koja upućuje na poznate ruske APT-ove, predstavlja značajnu prijetnju u krajoliku modernog kibernetičkog sukoba.

U trendu

Nagledanije

Učitavam...