Neue PathWiper-Malware greift kritische Infrastruktur der Ukraine an

Die neu identifizierte Schadsoftware PathWiper wurde kürzlich bei einem Cyberangriff auf wichtige Dienste in der Ukraine eingesetzt. Cybersicherheitsexperten von Cisco Talos berichteten diese Woche über den Vorfall und teilten Details mit Hackread.com.

Zur Information: Wiper sind eine Art Schadsoftware, die Daten auf Computersystemen löscht oder beschädigt und diese dadurch unbrauchbar macht. Bei diesem Angriff gelang es den Cyberkriminellen, in ein legitimes System zur Verwaltung von Computernetzwerken einzudringen. Sie verfügten wahrscheinlich über Insiderwissen zu diesem System, das es ihnen ermöglichte, schädliche Befehle zu senden und PathWiper auf angeschlossenen Geräten zu verbreiten, wie Forscher feststellten.

„Während des gesamten Angriffs sollten die verwendeten Dateinamen und Aktionen jene der Konsole des Verwaltungsprogramms nachahmen, was darauf hindeutet, dass die Angreifer bereits über die Konsole und möglicherweise ihre Funktionalität in der Umgebung des Opferunternehmens Bescheid wussten“, schrieb das Unternehmen in seinem Blogbeitrag .

Die Malware ersetzt wichtige Teile des Dateisystems eines Computers durch zufällige Informationen. Sie findet alle angeschlossenen Speichergeräte, einschließlich Festplatten und Netzwerklaufwerke, und überschreibt anschließend deren Inhalte. Die Angreifer versuchten, ihre Aktionen wie normale Vorgänge des Netzwerkverwaltungstools aussehen zu lassen, um nicht entdeckt zu werden.

Cisco Talos geht davon aus, dass ein von Russland unterstützter Advanced Persistent Threat (APT)-Akteur hinter diesem disruptiven Angriff steckt. Die Zuversicht beruht auf der Beobachtung ähnlicher Angriffsmethoden und der Fähigkeiten dieser Wiper-Malware, die mit früheren Angriffen auf ukrainische Ziele übereinstimmen.

PathWiper hat einige Gemeinsamkeiten mit einer anderen Wiper-Malware namens HermeticWiper , die 2022 ebenfalls ukrainische Einrichtungen ins Visier nahm. Sowohl PathWiper als auch HermeticWiper zielen darauf ab, wichtige Teile des Speichers eines Computers zu beschädigen, wie den Master Boot Record (MBR) und Dateien im Zusammenhang mit dem New Technology File System (NTFS).

Es gibt jedoch einen wesentlichen Unterschied in der Art und Weise, wie sie Laufwerke beschädigen. PathWiper ist fortschrittlicher; es identifiziert sorgfältig alle angeschlossenen Laufwerke, auch solche, die vorübergehend getrennt sind, und überprüft sie vor dem Löschen. Im Gegensatz dazu verwendet HermeticWiper eine einfachere Methode, indem es lediglich versucht, eine Reihe physischer Laufwerke zu beschädigen.

Der Angriff verdeutlicht die anhaltende Gefahr für die kritische Infrastruktur der Ukraine angesichts des anhaltenden Konflikts mit Russland. Es wird empfohlen, Sicherheitsprodukte für Endgeräteschutz, E-Mail-Sicherheit, Firewalls, Netzwerkanalyse und Malware-Analyse einzusetzen. Diese Tools helfen Unternehmen, böswillige Aktivitäten zu erkennen und zu verhindern, schädliche E-Mails und Websites zu blockieren und bieten Multi-Faktor-Authentifizierung, um nur autorisierten Benutzern Zugriff zu gewähren.