Nowe złośliwe oprogramowanie PathWiper atakuje krytyczną infrastrukturę Ukrainy

Niedawno zidentyfikowano złośliwe oprogramowanie o nazwie PathWiper, które zostało niedawno użyte w cyberataku na kluczowe usługi na Ukrainie. Eksperci ds. cyberbezpieczeństwa z Cisco Talos zgłosili incydent w tym tygodniu i podzielili się szczegółami z Hackread.com.

Dla twojej informacji, wipery to rodzaj złośliwego oprogramowania zaprojektowanego w celu usuwania lub uszkadzania danych w systemach komputerowych, czyniąc je bezużytecznymi. W tym ataku cyberprzestępcy zdołali dostać się do legalnego systemu, który zarządza sieciami komputerowymi. Prawdopodobnie mieli wewnętrzną wiedzę o tym systemie, co pozwoliło im wysyłać szkodliwe polecenia i rozprzestrzeniać PathWiper na podłączone urządzenia, zauważyli badacze.

„Podczas całego ataku nazwy plików i działania miały naśladować te wdrożone przez konsolę narzędzia administracyjnego, co wskazuje, że atakujący mieli wcześniej wiedzę na temat konsoli i prawdopodobnie jej funkcjonalności w środowisku przedsiębiorstwa ofiary” – napisała firma we wpisie na blogu .

Malware działa poprzez zastępowanie ważnych części systemu plików komputera losowymi informacjami. Znajduje wszystkie podłączone urządzenia pamięci masowej, w tym dyski twarde i dyski sieciowe, a następnie nadpisuje ich zawartość. Atakujący próbowali sprawić, aby ich działania wyglądały jak normalne operacje narzędzia do zarządzania siecią, aby uniknąć wykrycia.

Cisco Talos uważa, że ​​za tym destrukcyjnym atakiem stoi wspierany przez Rosję aktor Advanced Persistent Threat (APT). Ich pewność wynika z obserwacji podobnych metod ataku i możliwości tego złośliwego oprogramowania typu wiper, które pasują do wcześniej obserwowanych ataków na cele ukraińskie.

PathWiper ma pewne cechy wspólne z innym złośliwym oprogramowaniem typu wiper o nazwie HermeticWiper , które również w 2022 r. zaatakowało podmioty ukraińskie. Zarówno PathWiper, jak i HermeticWiper mają na celu uszkodzenie kluczowych części pamięci masowej komputera, takich jak Master Boot Record (MBR) i pliki związane z systemem plików New Technology File System (NTFS).

Istnieje jednak zasadnicza różnica w sposobie, w jaki uszkadzają dyski. PathWiper jest bardziej zaawansowany; starannie identyfikuje wszystkie podłączone dyski, nawet te, które są tymczasowo odłączone, i weryfikuje je przed wyczyszczeniem. Natomiast HermeticWiper używa prostszej metody, próbując po prostu uszkodzić zakres dysków fizycznych.

Atak pokazuje ciągłe zagrożenie dla infrastruktury krytycznej Ukrainy w obliczu trwającego konfliktu z Rosją. Zaleca się korzystanie z produktów zabezpieczających do ochrony punktów końcowych, zabezpieczeń poczty e-mail, zapór sieciowych, analizy sieci i analizy złośliwego oprogramowania. Narzędzia te pomagają organizacjom wykrywać i zapobiegać złośliwej aktywności, blokować szkodliwe wiadomości e-mail i witryny oraz zapewniają uwierzytelnianie wieloskładnikowe, aby umożliwić dostęp tylko upoważnionym użytkownikom.