Malware PathWiper

Uma nova cepa de malware destrutivo, denominada PathWiper, foi identificada em ataques cibernéticos direcionados a infraestruturas críticas na Ucrânia. Seu objetivo principal é claro: interromper e prejudicar as capacidades operacionais do país.

Implantação furtiva por meio de ferramentas legítimas

Os invasores implantaram o payload do PathWiper usando uma ferramenta legítima de administração de endpoints. Esse método de entrega sugere que os agentes da ameaça já haviam obtido acesso administrativo aos sistemas alvo por meio de um comprometimento anterior, destacando a sofisticação e o planejamento por trás do ataque.

Atribuição: Um adversário familiar retorna

Pesquisadores de segurança cibernética que investigam o incidente atribuíram o ataque, com grande confiança, a uma ameaça persistente avançada (APT) ligada à Rússia. As táticas, técnicas e procedimentos (TTPs) observados assemelham-se bastante aos do Sandworm, um conhecido grupo de ameaças anteriormente responsável pela implantação do HermeticWiper na Ucrânia.

PathWiper: um provável sucessor do HermeticWiper

O PathWiper compartilha semelhanças significativas com o HermeticWiper, sugerindo que pode ser uma evolução desse malware anterior. Ambos visam causar o máximo de dano corrompendo dados críticos do sistema, e a sobreposição de comportamentos sugere o envolvimento do mesmo grupo de ameaças ou de grupos intimamente relacionados.

Uma cadeia de ataque em vários estágios

O malware é executado por meio de um processo de vários estágios:

• Um arquivo de lote do Windows aciona um VBScript malicioso (uacinstall.vbs).
• O script descarta e executa a carga principal (sha256sum.exe), disfarçada para se assemelhar a uma ferramenta administrativa legítima para evitar a detecção.

Enumeração avançada de unidades e sabotagem de volume

Ao contrário do HermeticWiper, que se concentrava na enumeração de unidades físicas, o PathWiper vai além, identificando programaticamente todas as unidades conectadas, incluindo volumes locais, de rede e desmontados. Em seguida, ele utiliza as APIs do Windows para desmontar esses volumes em preparação para sabotagem.

O malware gera threads para cada volume para substituir estruturas NTFS essenciais, tornando os sistemas efetivamente inoperantes.

Destruição direcionada de arquivos do sistema central

Entre os componentes do sistema que o PathWiper corrompe estão:

• MBR (Master Boot Record): Contém o bootloader e a tabela de partição.
• $MFT (Master File Table): mantém o índice de todos os arquivos e diretórios.
• $LogFile: rastreia alterações de integridade e recuperação.
• $Boot: Armazena informações do setor de boot e do sistema de arquivos.

Além disso, cinco outros arquivos de metadados NTFS críticos são substituídos por bytes aleatórios, garantindo ainda mais que os sistemas afetados não possam ser recuperados.

Sem resgate, sem exigências - apenas destruição

Notavelmente, os ataques envolvendo o PathWiper não incluem nenhuma forma de extorsão ou pedido de resgate. Essa ausência confirma o objetivo principal: a interrupção total das operações, em vez de ganho financeiro.

Limpadores: uma ferramenta recorrente na guerra híbrida

Desde o início da guerra na Ucrânia, os limpadores de dados se tornaram uma marca registrada das operações cibernéticas russas. Essas ferramentas foram implantadas em diversas campanhas com efeitos devastadores. Outros limpadores notáveis usados em campanhas de ataques detectados incluem: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain e outros.

Cada um deles desempenhou um papel em uma estratégia mais ampla de desestabilização da infraestrutura ucraniana por meio da guerra cibernética.

Conclusão: PathWiper marca uma evolução perigosa

O PathWiper exemplifica a escalada contínua de ferramentas cibernéticas destrutivas usadas contra a Ucrânia. Com técnicas avançadas de evasão, sabotagem profunda em nível de sistema e atribuição a APTs russos conhecidos, ele representa uma ameaça significativa no cenário do conflito cibernético moderno.