Новая вредоносная программа PathWiper атакует критически важную инфраструктуру Украины

Недавно обнаруженное вредоносное ПО PathWiper было недавно использовано в кибератаке, нацеленной на основные службы в Украине. Эксперты по кибербезопасности Cisco Talos сообщили об инциденте на этой неделе и поделились подробностями с Hackread.com.

Для информации, вайперы — это тип вредоносного ПО, предназначенного для стирания или порчи данных на компьютерных системах, делая их непригодными для использования. В этой атаке киберпреступникам удалось проникнуть в легитимную систему, которая управляет компьютерными сетями. Вероятно, у них были внутренние знания об этой системе, что позволило им отправлять вредоносные команды и распространять PathWiper на подключенные устройства, отметили исследователи.

«В ходе атаки имена файлов и действия, которые использовались, имитировали те, которые применялись в консоли административной утилиты, что указывает на то, что злоумышленники имели предварительные знания о консоли и, возможно, ее функциональности в среде предприятия-жертвы», — написала компания в своем блоге .

Вредоносная программа работает, заменяя важные части файловой системы компьютера случайной информацией. Она находит все подключенные устройства хранения данных, включая жесткие диски и сетевые диски, а затем перезаписывает их содержимое. Злоумышленники пытались сделать так, чтобы их действия выглядели как обычные операции инструмента управления сетью, чтобы избежать обнаружения.

Cisco Talos считает, что за этой разрушительной атакой стоит поддерживаемый Россией субъект Advanced Persistent Threat (APT). Их уверенность основана на наблюдении за аналогичными методами атак и возможностями этого вредоносного ПО-очистителя, которые соответствуют ранее замеченным атакам на украинские цели.

PathWiper имеет некоторые общие черты с другим вредоносным ПО-очистителем под названием HermeticWiper , которое также атаковало украинские организации в 2022 году. И PathWiper, и HermeticWiper нацелены на повреждение ключевых частей хранилища компьютера, таких как главная загрузочная запись (MBR) и файлы, связанные с файловой системой новой технологии (NTFS).

Однако есть ключевое различие в том, как они портят диски. PathWiper более продвинут; он тщательно идентифицирует все подключенные диски, даже те, которые временно отключены, и проверяет их перед очисткой. HermeticWiper, напротив, использует более простой метод, пытаясь просто повредить ряд физических дисков.

Атака показывает постоянную опасность для критической инфраструктуры Украины, поскольку конфликт с Россией продолжается. Рекомендуется использовать продукты безопасности для защиты конечных точек, безопасности электронной почты, брандмауэров, анализа сети и анализа вредоносного ПО. Эти инструменты помогают организациям обнаруживать и предотвращать вредоносную активность, блокировать вредоносные электронные письма и веб-сайты и обеспечивать многофакторную аутентификацию, чтобы разрешить доступ только авторизованным пользователям.