Un nouveau malware PathWiper frappe les infrastructures critiques de l'Ukraine

Un nouveau logiciel malveillant, PathWiper, a récemment été utilisé dans une cyberattaque visant des services essentiels en Ukraine. Les experts en cybersécurité de Cisco Talos ont signalé l'incident cette semaine et en ont partagé les détails avec Hackread.com.

Pour information, les wipers sont un type de logiciel malveillant conçu pour effacer ou corrompre les données des systèmes informatiques, les rendant ainsi inutilisables. Lors de cette attaque, les cybercriminels ont réussi à s'introduire dans un système légitime gérant des réseaux informatiques. Ils disposaient probablement d'une connaissance approfondie de ce système, ce qui leur a permis d'envoyer des commandes malveillantes et de propager PathWiper aux appareils connectés, ont constaté les chercheurs.

« Tout au long de l'attaque, les noms de fichiers et les actions utilisés étaient destinés à imiter ceux déployés par la console de l'utilitaire d'administration, indiquant que les attaquants avaient une connaissance préalable de la console et éventuellement de ses fonctionnalités dans l'environnement de l'entreprise victime », a écrit la société dans son article de blog .

Le logiciel malveillant remplace des éléments importants du système de fichiers d'un ordinateur par des informations aléatoires. Il détecte tous les périphériques de stockage connectés, y compris les disques durs et les lecteurs réseau, puis écrase leur contenu. Les attaquants ont tenté de faire croire que leurs actions sont normales pour l'outil de gestion réseau afin d'éviter d'être détectés.

Cisco Talos estime qu'un acteur de menace persistante avancée (APT) soutenu par la Russie est à l'origine de cette attaque perturbatrice. Leur confiance repose sur l'observation de méthodes d'attaque similaires et des capacités de ce malware de type « widger », qui correspondent à des attaques précédemment observées contre des cibles ukrainiennes.

PathWiper partage certaines fonctionnalités avec un autre malware de nettoyage appelé HermeticWiper , qui a également ciblé des entités ukrainiennes en 2022. PathWiper et HermeticWiper visent tous deux à endommager des éléments clés du stockage d'un ordinateur, comme le Master Boot Record (MBR) et les fichiers liés au New Technology File System (NTFS).

Cependant, il existe une différence fondamentale dans la façon dont ils corrompent les disques. PathWiper est plus avancé ; il identifie soigneusement tous les disques connectés, même ceux temporairement déconnectés, et les vérifie avant de les effacer. HermeticWiper, quant à lui, utilise une méthode plus simple, consistant à corrompre une série de disques physiques.

Cette attaque illustre la menace persistante qui pèse sur les infrastructures critiques de l'Ukraine, alors que le conflit avec la Russie perdure. Il est recommandé d'utiliser des produits de sécurité pour la protection des terminaux, la sécurité des e-mails, les pare-feu, l'analyse réseau et l'analyse des logiciels malveillants. Ces outils aident les organisations à détecter et à prévenir les activités malveillantes, à bloquer les e-mails et les sites web malveillants, et à proposer une authentification multifacteur pour n'autoriser l'accès qu'aux utilisateurs autorisés.