Programe malware PathWiper

O nouă tulpină de malware distructiv, denumită PathWiper, a fost identificată în cadrul unor atacuri cibernetice direcționate asupra infrastructurii critice din Ucraina. Obiectivul său principal este clar: perturbarea și paralizarea capacităților operaționale din țară.

Implementare discretă prin intermediul instrumentelor legitime

Atacatorii au implementat sarcina utilă PathWiper folosind un instrument legitim de administrare a endpoint-urilor. Această metodă de livrare sugerează că autorii amenințărilor obținuseră deja acces administrativ la sistemele vizate printr-o compromitere anterioară, evidențiind sofisticarea și planificarea din spatele atacului.

Atribuire: Un adversar familiar se întoarce

Cercetătorii în domeniul securității cibernetice care investighează incidentul au atribuit atacul cu un grad ridicat de încredere unei amenințări persistente avansate (APT) legate de Rusia. Tacticile, tehnicile și procedurile (TTP) observate seamănă foarte mult cu cele ale Sandworm, un grup de amenințări cunoscut, responsabil anterior pentru implementarea HermeticWiper în Ucraina.

PathWiper: Un probabil succesor al lui HermeticWiper

PathWiper are asemănări semnificative cu HermeticWiper, sugerând că ar putea fi o evoluție a acelui malware anterior. Ambele își propun să provoace daune maxime prin coruperea datelor critice ale sistemului, iar suprapunerea comportamentului implică implicarea acelorași grupuri de amenințări sau a unora strâns legate.

Un lanț de atac în mai multe etape

Malware-ul se execută printr-un proces în mai multe etape:

• Un fișier batch Windows declanșează un VBScript rău intenționat (uacinstall.vbs).
• Scriptul elimină și execută sarcina utilă principală (sha256sum.exe), deghizată pentru a semăna cu un instrument administrativ legitim pentru a evita detectarea.

Enumerare avansată a unităților și sabotaj de volum

Spre deosebire de HermeticWiper, care se concentra pe enumerarea unităților fizice, PathWiper merge mai departe prin identificarea programatică a tuturor unităților conectate, inclusiv volumele locale, din rețea și cele demontate. Apoi, utilizează API-urile Windows pentru a demonta aceste volume în pregătirea unui sabotaj.

Malware-ul generează thread-uri pentru fiecare volum pentru a suprascrie structurile NTFS esențiale, făcând practic sistemele inoperabile.

Distrugerea țintită a fișierelor de sistem principale

Printre componentele sistemului pe care PathWiper le corupe se numără:

• MBR (Master Boot Record): Conține bootloader-ul și tabela de partiții.
• $MFT (Master File Table): Menține indexul tuturor fișierelor și directoarelor.
• $LogFile: Urmărește modificările pentru integritate și recuperare.
• $Boot: Stochează informații despre sectorul de boot și sistemul de fișiere.

În plus, alte cinci fișiere critice de metadate NTFS sunt suprascrise cu octeți aleatori, asigurându-se în continuare că sistemele afectate nu pot fi recuperate.

Fără răscumpărare, fără pretenții - doar distrugere

În mod special, atacurile care au implicat PathWiper nu includ nicio formă de extorcare sau cerere de răscumpărare. Această absență confirmă obiectivul principal: perturbarea totală a operațiunilor, mai degrabă decât câștigul financiar.

Ștergătoarele: un instrument recurent în războiul hibrid

De la începutul războiului din Ucraina, ștergătoarele de date au devenit o caracteristică a operațiunilor cibernetice rusești. Aceste instrumente au fost utilizate în mai multe campanii cu efect devastator. Alte ștergătoare notabile utilizate în campaniile de atac detectate includ: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain și altele.

Fiecare dintre acestea a jucat un rol într-o strategie mai amplă de destabilizare a infrastructurii ucrainene prin război cibernetic.

Concluzie: PathWiper marchează o evoluție periculoasă

PathWiper exemplifică escaladarea continuă a instrumentelor cibernetice distructive utilizate împotriva Ucrainei. Cu tehnici avansate de evitare a atacurilor, sabotaj profund la nivel de sistem și atribuiri care indică APT-uri rusești cunoscute, acesta reprezintă o amenințare semnificativă în peisajul conflictelor cibernetice moderne.