Исследователи из команды Cisco Talos обнаружили новую серьезную угрозу кибербезопасности — деструктивное вредоносное программное обеспечение PathWiper, которое специально разработано для атак на объекты критической инфраструктуры Украины. Этот опасный вайпер представляет собой эволюцию существующих угроз и демонстрирует растущую изощренность киберпреступников.
Механизм проникновения и развертывания PathWiper
Особенностью данной кибератаки является использование легитимных инструментов администрирования для развертывания вредоносной полезной нагрузки. Злоумышленники предварительно получают административные привилегии в целевых системах, что позволяет им обходить стандартные системы защиты и маскировать свою деятельность под обычные административные процессы.
Процесс заражения PathWiper происходит в несколько этапов: сначала запускается batch-файл Windows, который активирует вредоносный VBScript с именем uacinstall.vbs. Этот скрипт, в свою очередь, загружает и исполняет основную полезную нагрузку под названием sha256sum.exe. Такая многоступенчатая схема развертывания значительно усложняет обнаружение угрозы антивирусными решениями.
Технические особенности и связь с HermeticWiper
Эксперты по кибербезопасности проводят параллели между PathWiper и печально известным HermeticWiper (также известным как FoxBlade, KillDisk и NEARMISS), который ранее использовался группировкой Sandworm для атак на украинскую инфраструктуру. Схожесть в архитектуре и методах работы позволяет предположить, что PathWiper может быть усовершенствованной версией или продолжением разработки HermeticWiper.
Ключевое отличие PathWiper заключается в более продвинутом алгоритме обнаружения целей. В то время как HermeticWiper ограничивался простым перечислением физических дисков, новый вайпер способен программно определять все типы подключенных накопителей, включая локальные диски, сетевые ресурсы и даже демонтированные тома.
Деструктивный механизм уничтожения данных
PathWiper демонстрирует высокую степень технической изощренности в процессе уничтожения данных. Вредонос использует возможности Windows API для демонтажа томов, подготавливая их к полному уничтожению. Для повышения эффективности малварь создает отдельный поток для каждого обнаруженного тома, что позволяет одновременно атаковать несколько целей.
Основной урон наносится путем перезаписи критически важных структур файловой системы NTFS случайными байтами. Этот процесс приводит к полной потере данных и выводу целевых систем из строя. Восстановление информации после такой атаки становится практически невозможным без специализированных инструментов и значительных временных затрат.
Мотивы атакующих и отсутствие финансовых требований
Анализ кибератак с использованием PathWiper показывает, что злоумышленники не выдвигают никаких финансовых требований или условий для восстановления данных. Отсутствие элементов вымогательства указывает на то, что единственной целью атак является максимальное нарушение работы критической инфраструктуры и причинение экономического ущерба.
PathWiper в контексте кибервойны против Украины
Появление PathWiper продолжает тревожную тенденцию эскалации кибератак, направленных против украинской инфраструктуры. Этот вайпер пополняет обширный арсенал деструктивного вредоносного ПО, включающий WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper и AcidRain. Такое разнообразие угроз свидетельствует о координированных усилиях по дестабилизации критически важных систем.
Обнаружение PathWiper подчеркивает критическую важность постоянного мониторинга кибербезопасности и необходимость внедрения многоуровневых систем защиты. Организациям критической инфраструктуры следует незамедлительно пересмотреть свои протоколы безопасности, ограничить административные привилегии и внедрить решения для обнаружения аномальной активности в сетях. Только комплексный подход к кибербезопасности может обеспечить надежную защиту от подобных изощренных угроз.
