PathWiper-skadlig programvara
En ny variant av destruktiv skadlig kod, kallad PathWiper, har identifierats i riktade cyberattacker riktade mot kritisk infrastruktur i Ukraina. Dess primära mål är tydligt: att störa och lamslå den operativa kapaciteten i landet.
Innehållsförteckning
Smygande implementering via legitima verktyg
Angriparna driftsatte PathWiper-nyttolasten med hjälp av ett legitimt administrationsverktyg för endpoints. Denna leveransmetod tyder på att hotaktörerna redan hade uppnått administrativ åtkomst till de attackerade systemen genom en tidigare kompromiss, vilket belyser sofistikeringen och planeringen bakom attacken.
Tillskrivning: En välbekant motståndare återvänder
Cybersäkerhetsforskare som undersöker händelsen har med hög säkerhet tillskrivit attacken ett avancerat persistent hot (APT) med koppling till Ryssland. De observerade taktikerna, teknikerna och procedurerna (TTP:erna) liknar starkt de som användes av Sandworm, en känd hotgrupp som tidigare ansvarade för att driftsätta HermeticWiper i Ukraina.
PathWiper: En trolig efterträdare till HermeticWiper
PathWiper har betydande likheter med HermeticWiper, vilket tyder på att det kan vara en utveckling av den tidigare skadliga programvaran. Båda syftar till att orsaka maximal skada genom att korrumpera kritisk systemdata, och överlappningen i beteende antyder inblandning av samma eller närbesläktade hotkluster.
En attackkedja i flera steg
Skadlig programvara körs genom en process i flera steg:
- En Windows-batchfil utlöser ett skadligt VBScript (uacinstall.vbs).
- Skriptet släpper och kör kärnnyttolasten (sha256sum.exe), förklädd för att likna ett legitimt administrativt verktyg för att undvika upptäckt.
Avancerad enhetsuppräkning och volymsabotage
Till skillnad från HermeticWiper, som fokuserade på att räkna upp fysiska enheter, går PathWiper ett steg längre genom att programmatiskt identifiera alla anslutna enheter, inklusive lokala, nätverks- och demonterade volymer. Den använder sedan Windows API:er för att demontera dessa volymer som förberedelse för sabotage.
Skadlig programvara skapar trådar för varje volym för att skriva över viktiga NTFS-strukturer, vilket effektivt gör system obrukbara.
Riktad förstörelse av kärnsystemfiler
Bland systemkomponenterna som PathWiper korrumperar finns:
- MBR (Master Boot Record): Innehåller bootloader och partitionstabell.
- $MFT (Master File Table): Underhåller indexet för alla filer och kataloger.
- $LogFile: Spårar ändringar för integritet och återställning.
- $Boot: Lagrar information om startsektor och filsystem.
Dessutom skrivs fem andra kritiska NTFS-metadatafiler över med slumpmässiga byte, vilket ytterligare säkerställer att de berörda systemen inte kan återställas.
Ingen lösensumma, inga krav - bara förstörelse
Det är värt att notera att attackerna mot PathWiper inte innefattar någon form av utpressning eller lösensumma. Denna avsaknad bekräftar det primära målet: total störning av verksamheten, snarare än ekonomisk vinning.
Torkarblad: Ett återkommande verktyg i hybridkrigföring
Sedan kriget i Ukraina började har dataskranar blivit ett kännetecken för ryska cyberoperationer. Dessa verktyg har använts i flera kampanjer med förödande effekt. Andra anmärkningsvärda skranar som använts i upptäckta attackkampanjer inkluderar: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain och fler.
Var och en av dessa har spelat en roll i en bredare strategi för att destabilisera ukrainsk infrastruktur genom cyberkrigföring.
Slutsats: PathWiper markerar en farlig utveckling
PathWiper exemplifierar den pågående eskaleringen av destruktiva cyberverktyg som används mot Ukraina. Med avancerade undanmanövreringstekniker, djupgående sabotage på systemnivå och hänvisning till kända ryska antiterrorister, representerar det ett betydande hot i den moderna cyberkonfliktens landskap.
