PathWiper Malware
Një lloj i ri i malware-it shkatërrues, i quajtur PathWiper, është identifikuar në sulme kibernetike të synuara ndaj infrastrukturës kritike në Ukrainë. Objektivi i tij kryesor është i qartë: të prishë dhe paralizojë aftësitë operacionale brenda vendit.
Tabela e Përmbajtjes
Vendosje e fshehtë nëpërmjet mjeteve legjitime
Sulmuesit vendosën ngarkesën PathWiper duke përdorur një mjet legjitim administrimi të pikës fundore. Kjo metodë e shpërndarjes sugjeron që aktorët kërcënues kishin arritur tashmë akses administrativ në sistemet e synuara përmes një komprometimi paraprak, duke nxjerrë në pah sofistikimin dhe planifikimin pas sulmit.
Atribuimi: Një Kundërshtar i Familiar Kthehet
Studiuesit e sigurisë kibernetike që po hetojnë incidentin ia kanë atribuar sulmin me besim të lartë një kërcënimi të avancuar të vazhdueshëm (APT) të lidhur me Rusinë. Taktikat, teknikat dhe procedurat (TTP) e vëzhguara ngjajnë shumë me ato të Sandworm, një grup kërcënimesh i njohur më parë përgjegjës për vendosjen e HermeticWiper në Ukrainë.
PathWiper: Një pasardhës i mundshëm i HermeticWiper
PathWiper ndan ngjashmëri të konsiderueshme me HermeticWiper, duke sugjeruar se mund të jetë një evolucion i atij programi keqdashës më të hershëm. Të dy synojnë të shkaktojnë dëme maksimale duke korruptuar të dhënat kritike të sistemit, dhe mbivendosja në sjellje nënkupton përfshirjen e të njëjtave grupeve të kërcënimeve ose të lidhura ngushtë.
Një Zinxhir Sulmesh Shumëfazësh
Malware ekzekutohet përmes një procesi shumëfazor:
- Një skedar batch i Windows shkakton një VBScript keqdashës (uacinstall.vbs).
- Skripti lëshon dhe ekzekuton ngarkesën kryesore (sha256sum.exe), të maskuar për t'i ngjarë një mjeti legjitim administrativ për të shmangur zbulimin.
Numërimi i Avancuar i Disqeve dhe Sabotimi i Vëllimit
Ndryshe nga HermeticWiper, i cili u përqendrua në numërimin e disqeve fizike, PathWiper shkon një hap më tej duke identifikuar në mënyrë programore të gjitha disqet e lidhura, duke përfshirë vëllimet lokale, të rrjetit dhe ato të çmontuara. Më pas, ai shfrytëzon API-të e Windows për të çmontuar këto vëllime në përgatitje për sabotim.
Malware krijon fije-thread-e për secilin vëllim për të mbishkruar strukturat thelbësore të NTFS, duke i bërë në mënyrë efektive sistemet të paoperueshme.
Shkatërrimi i synuar i skedarëve të sistemit bazë
Ndër komponentët e sistemit që PathWiper korrupton janë:
- MBR (Master Boot Record): Përmban ngarkuesin e nisjes dhe tabelën e ndarjeve.
- $MFT (Tabela Kryesore e Skedarëve): Mirëmban indeksin e të gjithë skedarëve dhe drejtorive.
- $LogFile: Gjurmon ndryshimet për integritet dhe rikuperim.
- $Boot: Ruan informacionin e sektorit të nisjes dhe sistemit të skedarëve.
Për më tepër, pesë skedarë të tjerë kritikë të meta të dhënave NTFS mbishkruhen me bajt të rastësishëm, duke siguruar më tej që sistemet e prekura nuk mund të rikuperohen.
Pa Shpërblesë, Pa Kërkesa - Vetëm Shkatërrim
Vlen të përmendet se sulmet që përfshijnë PathWiper nuk përfshijnë asnjë formë zhvatjeje apo kërkese për shpërblim. Kjo mungesë konfirmon objektivin kryesor: ndërprerjen totale të operacioneve, në vend të përfitimit financiar.
Fshirëset: Një mjet i përsëritur në luftën hibride
Që nga fillimi i luftës në Ukrainë, fshirësit e të dhënave janë bërë një shenjë dalluese e operacioneve kibernetike ruse. Këto mjete janë përdorur në fushata të shumta me efekt shkatërrues. Fshirës të tjerë të rëndësishëm të përdorur në fushatat e sulmeve të zbuluara përfshijnë: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain dhe të tjerë.
Secila prej këtyre ka luajtur një rol në një strategji më të gjerë të destabilizimit të infrastrukturës ukrainase përmes luftës kibernetike.
Përfundim: PathWiper shënon një evolucion të rrezikshëm
PathWiper ilustron përshkallëzimin e vazhdueshëm të mjeteve kibernetike shkatërruese të përdorura kundër Ukrainës. Me teknika të përparuara shmangieje, sabotim të thellë në nivel sistemi dhe atribuim që tregon APT-të e njohura ruse, ai përfaqëson një kërcënim të rëndësishëm në peizazhin e konfliktit kibernetik modern.
