Novo malware PathWiper atinge infraestrutura crítica da Ucrânia

Um malware recém-identificado, chamado PathWiper, foi usado recentemente em um ataque cibernético direcionado a serviços essenciais na Ucrânia. Especialistas em segurança cibernética da Cisco Talos relataram o incidente esta semana e compartilharam detalhes com o Hackread.com.

Para sua informação, limpadores são um tipo de malware projetado para apagar ou corromper dados em sistemas de computador, tornando-os inutilizáveis. Neste ataque, os cibercriminosos conseguiram invadir um sistema legítimo que gerencia redes de computadores. Eles provavelmente tinham conhecimento interno desse sistema, o que lhes permitiu enviar comandos nocivos e espalhar o PathWiper para dispositivos conectados, observaram os pesquisadores.

“Ao longo do ataque, os nomes de arquivos e ações usados ​​tinham a intenção de imitar aqueles implantados pelo console do utilitário administrativo, indicando que os invasores tinham conhecimento prévio do console e possivelmente de sua funcionalidade no ambiente corporativo da vítima”, escreveu a empresa em sua postagem no blog .

O malware funciona substituindo partes importantes do sistema de arquivos de um computador por informações aleatórias. Ele encontra todos os dispositivos de armazenamento conectados, incluindo discos rígidos e unidades de rede, e então sobrescreve seu conteúdo. Os invasores tentaram fazer com que suas ações parecessem operações normais da ferramenta de gerenciamento de rede para evitar a detecção.

A Cisco Talos acredita que um agente de Ameaça Persistente Avançada (APT) apoiado pela Rússia esteja por trás deste ataque disruptivo. Sua confiança advém da observação de métodos de ataque semelhantes e das capacidades deste malware limpador, que correspondem a ataques já vistos contra alvos ucranianos.

O PathWiper compartilha alguns recursos com outro malware limpador chamado HermeticWiper , que também teve como alvo entidades ucranianas em 2022. Tanto o PathWiper quanto o HermeticWiper visam danificar partes importantes do armazenamento de um computador, como o Master Boot Record (MBR) e arquivos relacionados ao New Technology File System (NTFS).

No entanto, há uma diferença fundamental na forma como eles corrompem unidades. O PathWiper é mais avançado; ele identifica cuidadosamente todas as unidades conectadas, mesmo aquelas temporariamente desconectadas, e as verifica antes de apagá-las. Em contraste, o HermeticWiper usa um método mais simples, que consiste em tentar corromper apenas uma série de unidades físicas.

O ataque demonstra o perigo contínuo para a infraestrutura crítica da Ucrânia, à medida que o conflito com a Rússia prossegue. Recomenda-se o uso de produtos de segurança para proteção de endpoints, segurança de e-mail, firewalls, análise de rede e análise de malware. Essas ferramentas ajudam as organizações a detectar e prevenir atividades maliciosas, bloquear e-mails e sites nocivos e fornecer autenticação multifator para permitir o acesso apenas a usuários autorizados.