Malware destrutivo utilizado contra infraestrutura crítica na Ucrânia

De acordo com um novo relatório da Cisco Talos, os agentes de ameaça russos estão novamente a utilizar malware destrutivo contra a infraestrutura crítica ucraniana.

Em janeiro e fevereiro de 2022 foram utilizados vários wipers contra a infraestrutura da Ucrânia, tendo sido novamente utilizados num ciberataque em dezembro de 2023. Agora, a Talos afirma que pelo menos uma entidade de infraestrutura crítica da Ucrânia foi vítima de um ataque destrutivo em que foi utilizado um novo malware, apelidado de PathWiper.

O novo malware tem semelhanças ao HermeticWiper que foi atribuído ao Sandworm, um grupo APT associado com a inteligência militar russa. De acordo com a Talos, ambos os Wipers têm como alvo o master boot record e artefactos relacionados com NTFS para corromper os ficheiros. No entanto, os mecanismos diferem o PathWiper procura todos as drives conectados, identifica as etiquetas de volume e documenta registos válidos, enquanto o HermeticWiper simplesmente enumera as unidades físicas de zero a cem.

Como parte deste novo ataque, é utilizado uma framework legítima de administração de endpoint para executar comandos maliciosos e implementar o wiper. Os atacantes utilizam nomes de ficheiros e ações para imitar a consola do utilitário.

Quando executado, o PAthWiper tenta desmontar volumes e substituir o conteúdo dos artefactos do sistema de ficheiros por dados aleatórios, utilizando um thread por unidade e volume para cada caminho identificado.