Nieuwe PathWiper-malware treft kritieke infrastructuur van Oekraïne

Een nieuw ontdekte malware genaamd PathWiper werd onlangs gebruikt in een cyberaanval gericht op essentiële diensten in Oekraïne. Cybersecurityexperts van Cisco Talos meldden het incident deze week en deelden details met Hackread.com.

Ter informatie: wipers zijn een soort malware die is ontworpen om gegevens op computersystemen te wissen of te beschadigen, waardoor ze onbruikbaar worden. Bij deze aanval wisten de cybercriminelen een legitiem systeem binnen te dringen dat computernetwerken beheert. Waarschijnlijk hadden ze interne kennis van dit systeem, waardoor ze schadelijke opdrachten konden versturen en PathWiper konden verspreiden naar verbonden apparaten, aldus de onderzoekers.

"Tijdens de aanval waren de bestandsnamen en acties die werden gebruikt bedoeld om die van de console van het beheerprogramma na te bootsen. Dit geeft aan dat de aanvallers al voorkennis hadden van de console en mogelijk de functionaliteit ervan binnen de omgeving van het slachtoffer", schreef het bedrijf in zijn blogpost .

De malware vervangt belangrijke onderdelen van het bestandssysteem van een computer door willekeurige informatie. Het detecteert alle aangesloten opslagapparaten, inclusief harde schijven en netwerkschijven, en overschrijft vervolgens de inhoud ervan. De aanvallers probeerden hun acties te laten lijken op de normale werking van de netwerkbeheertool om detectie te voorkomen.

Cisco Talos vermoedt dat een door Rusland gesteunde Advanced Persistent Threat (APT)-actor achter deze verstorende aanval zit. Hun vertrouwen komt voort uit het observeren van vergelijkbare aanvalsmethoden en de mogelijkheden van deze wiper-malware, die overeenkomen met eerdere aanvallen op Oekraïense doelwitten.

PathWiper deelt een aantal kenmerken met een andere wiper-malware genaamd HermeticWiper , die in 2022 ook Oekraïense entiteiten aanviel. Zowel PathWiper als HermeticWiper zijn gericht op het beschadigen van belangrijke onderdelen van de opslag van een computer, zoals de Master Boot Record (MBR) en bestanden met betrekking tot het New Technology File System (NTFS).

Er is echter een belangrijk verschil in de manier waarop ze schijven beschadigen. PathWiper is geavanceerder; het identificeert zorgvuldig alle aangesloten schijven, zelfs de tijdelijk losgekoppelde schijven, en verifieert ze voordat ze worden gewist. HermeticWiper daarentegen gebruikt een eenvoudigere methode: het probeert simpelweg een reeks fysieke schijven te beschadigen.

De aanval toont aan dat de kritieke infrastructuur van Oekraïne nog steeds in gevaar is , nu het conflict met Rusland voortduurt. Het is raadzaam beveiligingsproducten te gebruiken voor endpointbeveiliging, e-mailbeveiliging, firewalls, netwerkanalyse en malwareanalyse. Deze tools helpen organisaties bij het detecteren en voorkomen van kwaadaardige activiteiten, het blokkeren van schadelijke e-mails en websites en het bieden van multifactorauthenticatie, zodat alleen geautoriseerde gebruikers toegang hebben.