PathWiper-malware
Een nieuwe variant van destructieve malware, PathWiper genaamd, is geïdentificeerd in gerichte cyberaanvallen op kritieke infrastructuur in Oekraïne. Het primaire doel is duidelijk: de operationele capaciteiten in het land verstoren en lamleggen.
Inhoudsopgave
Verborgen implementatie via legitieme tools
Aanvallers hebben de PathWiper-payload geïmplementeerd met behulp van een legitieme tool voor endpointbeheer. Deze methode suggereert dat de aanvallers al administratieve toegang tot de doelsystemen hadden verkregen via een eerdere aanval, wat de verfijning en planning achter de aanval benadrukt.
Toeschrijving: een bekende tegenstander keert terug
Cybersecurityonderzoekers die het incident onderzoeken, hebben de aanval met grote zekerheid toegeschreven aan een geavanceerde persistente dreiging (APT) die verband houdt met Rusland. De waargenomen tactieken, technieken en procedures (TTP's) lijken sterk op die van Sandworm, een bekende dreigingsgroep die eerder verantwoordelijk was voor de implementatie van HermeticWiper in Oekraïne.
PathWiper: een waarschijnlijke opvolger van HermeticWiper
PathWiper vertoont aanzienlijke overeenkomsten met HermeticWiper, wat suggereert dat het mogelijk een evolutie is van die eerdere malware. Beide zijn gericht op het aanrichten van maximale schade door het beschadigen van kritieke systeemgegevens, en de overlap in gedrag impliceert de betrokkenheid van dezelfde of nauw verwante dreigingsclusters.
Een meertraps aanvalsketen
De malware wordt uitgevoerd via een proces dat uit meerdere fasen bestaat:
- Een Windows-batchbestand activeert een schadelijk VBScript (uacinstall.vbs).
- Het script plaatst en voert de kernpayload (sha256sum.exe) uit, vermomd als een legitieme beheertool, om detectie te ontwijken.
Geavanceerde schijf-enumeratie en volume-sabotage
In tegenstelling tot HermeticWiper, dat zich richtte op het inventariseren van fysieke schijven, gaat PathWiper een stap verder door alle aangesloten schijven programmatisch te identificeren, inclusief lokale, netwerk- en ontkoppelde volumes. Vervolgens maakt het gebruik van Windows API's om deze volumes te ontkoppelen ter voorbereiding op sabotage.
De malware start threads voor elk volume om essentiële NTFS-structuren te overschrijven, waardoor systemen feitelijk onbruikbaar worden.
Gerichte vernietiging van kernsysteembestanden
PathWiper kan onder andere de volgende systeemcomponenten beschadigen:
- MBR (Master Boot Record): Bevat bootloader en partitietabel.
- $MFT (Master File Table): onderhoudt de index van alle bestanden en mappen.
- $LogFile: Houdt wijzigingen bij voor integriteit en herstel.
- $Boot: Slaat informatie over de opstartsector en het bestandssysteem op.
Bovendien worden vijf andere belangrijke NTFS-metadatabestanden overschreven met willekeurige bytes, waardoor de getroffen systemen niet meer kunnen worden hersteld.
Geen losgeld, geen eisen - alleen vernietiging
Opvallend is dat de aanvallen met PathWiper geen enkele vorm van afpersing of losgeldeisen omvatten. Deze afwezigheid bevestigt het primaire doel: totale verstoring van de bedrijfsvoering, in plaats van financieel gewin.
Ruitenwissers: een terugkerend instrument in hybride oorlogsvoering
Sinds het begin van de oorlog in Oekraïne zijn datawipers een kenmerk geworden van Russische cyberoperaties. Deze tools zijn in meerdere campagnes ingezet met verwoestende gevolgen. Andere opvallende wipers die in gedetecteerde aanvallen zijn gebruikt, zijn onder andere: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain en meer.
Elk van deze aanvallen heeft een rol gespeeld in een bredere strategie om de Oekraïense infrastructuur te destabiliseren door middel van cyberoorlogvoering.
Conclusie: PathWiper markeert een gevaarlijke evolutie
PathWiper is een voorbeeld van de aanhoudende escalatie van destructieve cybertools die tegen Oekraïne worden gebruikt. Met geavanceerde ontwijkingstechnieken, diepgaande sabotage op systeemniveau en toeschrijving aan bekende Russische APT's vormt het een aanzienlijke bedreiging in het landschap van moderne cyberconflicten.
