Il nuovo malware PathWiper colpisce le infrastrutture critiche dell'Ucraina

Un malware recentemente identificato, denominato PathWiper, è stato recentemente utilizzato in un attacco informatico che ha preso di mira servizi essenziali in Ucraina. Gli esperti di sicurezza informatica di Cisco Talos hanno segnalato l'incidente questa settimana e ne hanno condiviso i dettagli con Hackread.com.

Per vostra informazione, i wiper sono un tipo di malware progettato per cancellare o corrompere i dati sui sistemi informatici, rendendoli inutilizzabili. In questo attacco, i criminali informatici sono riusciti a entrare in un sistema legittimo che gestisce le reti informatiche. Probabilmente avevano una conoscenza interna di questo sistema, il che ha permesso loro di inviare comandi dannosi e diffondere PathWiper ai dispositivi connessi, hanno osservato i ricercatori.

"Durante l'attacco, i nomi dei file e le azioni utilizzati erano concepiti per imitare quelli utilizzati dalla console dell'utilità di amministrazione, il che indica che gli aggressori erano a conoscenza della console e probabilmente della sua funzionalità nell'ambiente aziendale della vittima", ha scritto la società nel suo post sul blog .

Il malware funziona sostituendo parti importanti del file system di un computer con informazioni casuali. Individua tutti i dispositivi di archiviazione connessi, inclusi hard disk e unità di rete, e ne sovrascrive il contenuto. Gli aggressori hanno cercato di far apparire le loro azioni come normali operazioni dello strumento di gestione della rete per evitare di essere rilevati.

Cisco Talos ritiene che dietro questo attacco destabilizzante ci sia un autore di minacce persistenti avanzate (APT) supportato dalla Russia. La loro affidabilità deriva dall'osservazione di metodi di attacco simili e dalle capacità di questo malware wiper, che corrispondono ad attacchi precedentemente osservati su obiettivi ucraini.

PathWiper condivide alcune funzionalità con un altro malware wiper chiamato HermeticWiper , che ha preso di mira anche entità ucraine nel 2022. Sia PathWiper che HermeticWiper mirano a danneggiare parti fondamentali dello storage di un computer, come il Master Boot Record (MBR) e i file relativi al New Technology File System (NTFS).

Tuttavia, c'è una differenza fondamentale nel modo in cui corrompono le unità. PathWiper è più avanzato: identifica attentamente tutte le unità connesse, anche quelle temporaneamente disconnesse, e le verifica prima di cancellarle. Al contrario, HermeticWiper utilizza un metodo più semplice, limitandosi a tentare di corrompere una serie di unità fisiche.

L'attacco dimostra il continuo pericolo per le infrastrutture critiche dell'Ucraina, mentre il conflitto con la Russia continua. Si consiglia di utilizzare prodotti di sicurezza per la protezione degli endpoint, la sicurezza della posta elettronica, i firewall, l'analisi di rete e l'analisi del malware. Questi strumenti aiutano le organizzazioni a rilevare e prevenire attività dannose, bloccare email e siti web dannosi e fornire l'autenticazione a più fattori per consentire l'accesso solo agli utenti autorizzati.