Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware PathWiper

Malware PathWiper

Por Mezo en Software malicioso
Traducir a:

Se ha identificado una nueva cepa de malware destructivo, denominada PathWiper, en ciberataques dirigidos contra infraestructuras críticas en Ucrania. Su objetivo principal es claro: interrumpir y paralizar las capacidades operativas del país.

Implementación sigilosa mediante herramientas legítimas

Los atacantes implementaron la carga útil PathWiper mediante una herramienta legítima de administración de endpoints. Este método de entrega sugiere que los actores de la amenaza ya habían obtenido acceso administrativo a los sistemas objetivo mediante una vulneración previa, lo que pone de manifiesto la sofisticación y la planificación del ataque.

Atribución: Un adversario familiar regresa

Los investigadores de ciberseguridad que investigan el incidente han atribuido el ataque con gran certeza a una amenaza persistente avanzada (APT) vinculada a Rusia. Las tácticas, técnicas y procedimientos (TTP) observados son muy similares a los de Sandworm, un conocido grupo de amenazas anteriormente responsable de la implementación de HermeticWiper en Ucrania.

PathWiper: Un probable sucesor de HermeticWiper

PathWiper comparte similitudes significativas con HermeticWiper, lo que sugiere que podría ser una evolución de este malware anterior. Ambos buscan causar el máximo daño corrompiendo datos críticos del sistema, y la coincidencia en su comportamiento implica la participación de los mismos clústeres de amenazas o de otros estrechamente relacionados.

Una cadena de ataque de múltiples etapas

El malware se ejecuta a través de un proceso de varias etapas:

  • Un archivo por lotes de Windows activa un VBScript malicioso (uacinstall.vbs).
  • El script suelta y ejecuta la carga útil principal (sha256sum.exe), disfrazada para parecerse a una herramienta administrativa legítima para evadir la detección.

Enumeración avanzada de unidades y sabotaje de volúmenes

A diferencia de HermeticWiper, que se centraba en enumerar unidades físicas, PathWiper va un paso más allá al identificar programáticamente todas las unidades conectadas, incluyendo volúmenes locales, de red y desmontados. A continuación, aprovecha las API de Windows para desmontar estos volúmenes y prepararlos para un sabotaje.

El malware genera subprocesos para cada volumen para sobrescribir las estructuras NTFS esenciales, dejando los sistemas inoperables.

Destrucción dirigida de archivos centrales del sistema

Entre los componentes del sistema que PathWiper corrompe se encuentran:

  • MBR (Master Boot Record): contiene el cargador de arranque y la tabla de particiones.
  • $MFT (Tabla maestra de archivos): mantiene el índice de todos los archivos y directorios.
  • $LogFile: realiza un seguimiento de los cambios para garantizar la integridad y la recuperación.
  • $Boot: almacena información del sector de arranque y del sistema de archivos.

Además, otros cinco archivos de metadatos NTFS críticos se sobrescriben con bytes aleatorios, lo que garantiza aún más que los sistemas afectados no puedan recuperarse.

Sin rescate, sin exigencias: solo destrucción

Cabe destacar que los ataques que involucran a PathWiper no incluyen ningún tipo de extorsión ni exigencia de rescate. Esta ausencia confirma el objetivo principal: la interrupción total de las operaciones, en lugar de obtener ganancias económicas.

Limpiaparabrisas: una herramienta recurrente en la guerra híbrida

Desde el inicio de la guerra en Ucrania, los borrados de datos se han convertido en un sello distintivo de las operaciones cibernéticas rusas. Estas herramientas se han implementado en múltiples campañas con efectos devastadores. Otros borrados notables utilizados en campañas de ataque detectadas incluyen: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain y más.

Cada uno de ellos ha desempeñado un papel en una estrategia más amplia de desestabilización de la infraestructura ucraniana mediante la guerra cibernética.

Conclusión: PathWiper marca una evolución peligrosa

PathWiper ejemplifica la continua escalada de ciberherramientas destructivas utilizadas contra Ucrania. Con técnicas avanzadas de evasión, sabotaje profundo a nivel de sistema y atribución a APT rusas conocidas, representa una amenaza significativa en el panorama de los ciberconflictos modernos.

Tendencias

Mas Visto

Cargando...