Preventivo sconto multi-licenza
Database delle minacce Malware Malware PathWiper

Malware PathWiper

Entro Mezo nel Malware
Traduci in:

Un nuovo ceppo di malware distruttivo, denominato PathWiper, è stato identificato in attacchi informatici mirati contro infrastrutture critiche in Ucraina. Il suo obiettivo principale è chiaro: interrompere e paralizzare le capacità operative del Paese.

Distribuzione furtiva tramite strumenti legittimi

Gli aggressori hanno distribuito il payload PathWiper utilizzando uno strumento di amministrazione endpoint legittimo. Questo metodo di distribuzione suggerisce che gli autori della minaccia avessero già ottenuto l'accesso amministrativo ai sistemi presi di mira tramite una precedente compromissione, evidenziando la sofisticatezza e la pianificazione alla base dell'attacco.

Attribuzione: il ritorno di un avversario familiare

I ricercatori di sicurezza informatica che hanno indagato sull'incidente hanno attribuito l'attacco con elevata sicurezza a una minaccia persistente avanzata (APT) legata alla Russia. Le tattiche, le tecniche e le procedure (TTP) osservate sono molto simili a quelle di Sandworm, un noto gruppo di cybercriminali precedentemente responsabile dell'implementazione di HermeticWiper in Ucraina.

PathWiper: un probabile successore di HermeticWiper

PathWiper presenta significative somiglianze con HermeticWiper, il che suggerisce che potrebbe trattarsi di un'evoluzione di quest'ultimo. Entrambi mirano a infliggere il massimo danno possibile corrompendo i dati critici del sistema, e la sovrapposizione di comportamento implica il coinvolgimento degli stessi cluster di minacce o di cluster strettamente correlati.

Una catena di attacco multi-fase

Il malware viene eseguito attraverso un processo in più fasi:

  • Un file batch di Windows attiva un VBScript dannoso (uacinstall.vbs).
  • Lo script rilascia ed esegue il payload principale (sha256sum.exe), camuffato in modo da sembrare uno strumento amministrativo legittimo per eludere il rilevamento.

Enumerazione avanzata delle unità e sabotaggio dei volumi

A differenza di HermeticWiper, che si concentrava sull'enumerazione delle unità fisiche, PathWiper fa un ulteriore passo avanti identificando a livello di codice tutte le unità connesse, inclusi i volumi locali, di rete e quelli smontati. Sfrutta quindi le API di Windows per smontare questi volumi in preparazione al sabotaggio.

Il malware genera thread per ogni volume per sovrascrivere le strutture NTFS essenziali, rendendo di fatto inutilizzabili i sistemi.

Distruzione mirata dei file di sistema principali

Tra i componenti di sistema che PathWiper corrompe ci sono:

  • MBR (Master Boot Record): contiene il bootloader e la tabella delle partizioni.
  • $MFT (Master File Table): mantiene l'indice di tutti i file e le directory.
  • $LogFile: tiene traccia delle modifiche per verificarne l'integrità e il ripristino.
  • $Boot: memorizza le informazioni sul settore di avvio e sul file system.

Inoltre, altri cinque file di metadati NTFS critici vengono sovrascritti con byte casuali, garantendo ulteriormente che i sistemi interessati non possano essere ripristinati.

Nessun riscatto, nessuna richiesta - Solo distruzione

In particolare, gli attacchi che coinvolgono PathWiper non includono alcuna forma di estorsione o richiesta di riscatto. Questa assenza conferma l'obiettivo primario: l'interruzione totale delle operazioni, piuttosto che il guadagno finanziario.

Tergicristalli: uno strumento ricorrente nella guerra ibrida

Dall'inizio della guerra in Ucraina, i data wiper sono diventati un elemento distintivo delle operazioni informatiche russe. Questi strumenti sono stati impiegati in molteplici campagne con effetti devastanti. Tra gli altri wiper più noti utilizzati nelle campagne di attacco rilevate figurano: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain e altri.

Ciascuno di questi ha svolto un ruolo in una strategia più ampia volta a destabilizzare le infrastrutture ucraine attraverso la guerra informatica.

Conclusione: PathWiper segna un’evoluzione pericolosa

PathWiper esemplifica la continua escalation degli strumenti informatici distruttivi utilizzati contro l'Ucraina. Con tecniche di elusione avanzate, sabotaggio a livello di sistema e attribuzioni che puntano a noti gruppi terroristici russi (APT), rappresenta una minaccia significativa nel panorama del moderno conflitto informatico.

Tendenza

I più visti

Caricamento in corso...