PathWiper не просто затёр диски — он обнулил целую страну. Без шансов на перезагрузку
NewsMakerЭтот опасный вайпер буквально превращает Windows в кирпич.
В Украине зафиксирована новая волна целенаправленных атак, нацеленных на разрушение критически важной инфраструктуры. В центре внимания — вредоносная программа класса вайпер под названием PathWiper, предназначенная не для вымогательства или хищения данных, а исключительно для уничтожения цифровых систем до состояния полной неработоспособности.
По данным исследовательской группы Cisco Talos , PathWiper был внедрён в инфраструктуру с помощью легитимного средства администрирования конечных устройств. Это указывает на то, что злоумышленники заранее получили административный доступ к целевым машинам — либо через ранее проведённую атаку, либо в результате компрометации доверенной цепочки поставок ПО.
По мнению аналитиков, к делу могут быть причастны те же структуры, что стояли за распространением HermeticWiper — известного инструмента разрушения данных, использованного в Украине в 2022 году.
В функциональности PathWiper прослеживаются прямые параллели с HermeticWiper, однако новый wiper демонстрирует более комплексный подход к уничтожению файловой структуры. Такое сходство дало основание предположить, что PathWiper — не самостоятельная разработка, а логичное продолжение существующего арсенала, эволюционировавшее под задачи текущей кампании.
Запуск PathWiper на целевой системе начинается с выполнения .bat-файла, который активирует вредоносный VBScript под названием uacinstall.vbs. Этот скрипт, в свою очередь, загружает и исполняет основной деструктивный компонент — sha256sum.exe. Названия компонентов подобраны так, чтобы не вызывать подозрений, маскируясь под инструменты системного администрирования.
Одной из отличительных особенностей PathWiper стала методика поиска накопителей. В отличие от HermeticWiper, который сканировал только физические диски, новая версия специально обращается ко всем типам накопителей: локальным, сетевым и даже отключённым в данный момент, но ранее смонтированным. Такой подход позволяет атаке охватить как можно больше поверхностей разрушения.
PathWiper активно использует API Windows для предварительного размонтирования томов. Это необходимо, чтобы получить беспрепятственный доступ к файловой системе и избежать блокировок. Далее создаются параллельные потоки, каждый из которых берёт на себя задачу по перезаписи ключевых компонентов NTFS — файловой системы, используемой в Windows.
Целью атаки становятся критически важные служебные структуры NTFS. В их число входят:
Вся вышеуказанная информация замещается случайными байтами, что делает восстановление данных практически невозможным. Затронутая система становится полностью нефункциональной, не подлежит нормальной загрузке и теряет доступ ко всем хранившимся ранее данным.
Важно отметить, что в ходе наблюдавшихся атак не фиксировалось ни одного признака вымогательства или требования выкупа. Отсутствие финансового мотива говорит о том, что основная цель операций — не извлечение прибыли, а именно подрыв работы инфраструктуры, парализация систем и нанесение ущерба на уровне организации процессов.
В качестве контрмер Cisco Talos опубликовала хэши файлов PathWiper и правила для Snort, позволяющие обнаружить вредоносную активность на ранней стадии. Однако учитывая высокий уровень прав доступа, которым изначально обладали злоумышленники, предотвращение атак зависит не только от сигнатур, но и от грамотной сегментации сети, мониторинга привилегий и ограничений на запуск скриптов.
PathWiper — лишь последнее звено в длинной цепочке разрушительных инструментов, используемых в киберконфликте против Украины. С начала войны в 2022 году страну атаковали десятки аналогичных программ , включая DoubleZero, CaddyWiper, IsaacWiper, WhisperKill, WhisperGate и AcidRain. Эти атаки отличались изощрённостью и системностью, и практически всегда были направлены против государственных структур, энергетики, телекоммуникаций и транспортных узлов.
Весьма характерно, что в новых версиях подобных вредоносов растёт акцент на обманные методы внедрения, маскировку под легитимное ПО и минимальное присутствие на диске. PathWiper вписывается в этот тренд, что делает его сложным объектом для анализа и требует особого внимания со стороны специалистов по киберзащите.
На фоне продолжающихся угроз украинской ИТ-инфраструктуре PathWiper становится новым вызовом для систем обнаружения и реагирования. Его методы, глубина поражения и отсутствие классических признаков атаки — всё это заставляет пересматривать существующие подходы к защите от APT -кампаний.
В Украине зафиксирована новая волна целенаправленных атак, нацеленных на разрушение критически важной инфраструктуры. В центре внимания — вредоносная программа класса вайпер под названием PathWiper, предназначенная не для вымогательства или хищения данных, а исключительно для уничтожения цифровых систем до состояния полной неработоспособности.
По данным исследовательской группы Cisco Talos , PathWiper был внедрён в инфраструктуру с помощью легитимного средства администрирования конечных устройств. Это указывает на то, что злоумышленники заранее получили административный доступ к целевым машинам — либо через ранее проведённую атаку, либо в результате компрометации доверенной цепочки поставок ПО.
По мнению аналитиков, к делу могут быть причастны те же структуры, что стояли за распространением HermeticWiper — известного инструмента разрушения данных, использованного в Украине в 2022 году.
В функциональности PathWiper прослеживаются прямые параллели с HermeticWiper, однако новый wiper демонстрирует более комплексный подход к уничтожению файловой структуры. Такое сходство дало основание предположить, что PathWiper — не самостоятельная разработка, а логичное продолжение существующего арсенала, эволюционировавшее под задачи текущей кампании.
Запуск PathWiper на целевой системе начинается с выполнения .bat-файла, который активирует вредоносный VBScript под названием uacinstall.vbs. Этот скрипт, в свою очередь, загружает и исполняет основной деструктивный компонент — sha256sum.exe. Названия компонентов подобраны так, чтобы не вызывать подозрений, маскируясь под инструменты системного администрирования.
Одной из отличительных особенностей PathWiper стала методика поиска накопителей. В отличие от HermeticWiper, который сканировал только физические диски, новая версия специально обращается ко всем типам накопителей: локальным, сетевым и даже отключённым в данный момент, но ранее смонтированным. Такой подход позволяет атаке охватить как можно больше поверхностей разрушения.
PathWiper активно использует API Windows для предварительного размонтирования томов. Это необходимо, чтобы получить беспрепятственный доступ к файловой системе и избежать блокировок. Далее создаются параллельные потоки, каждый из которых берёт на себя задачу по перезаписи ключевых компонентов NTFS — файловой системы, используемой в Windows.
Целью атаки становятся критически важные служебные структуры NTFS. В их число входят:
- MBR (Master Boot Record) — первый сектор физического диска, содержащий загрузчик и таблицу разделов. Уничтожение MBR делает невозможной загрузку системы.
- $MFT (Master File Table) — центральный каталог файловой системы, хранящий информацию о каждом файле, включая его расположение.
- $LogFile — журнал, используемый для логирования операций с файлами и восстановления при сбоях.
- $Boot — содержит структуру загрузочного сектора и информацию о расположении системных компонентов.
Вся вышеуказанная информация замещается случайными байтами, что делает восстановление данных практически невозможным. Затронутая система становится полностью нефункциональной, не подлежит нормальной загрузке и теряет доступ ко всем хранившимся ранее данным.
Важно отметить, что в ходе наблюдавшихся атак не фиксировалось ни одного признака вымогательства или требования выкупа. Отсутствие финансового мотива говорит о том, что основная цель операций — не извлечение прибыли, а именно подрыв работы инфраструктуры, парализация систем и нанесение ущерба на уровне организации процессов.
В качестве контрмер Cisco Talos опубликовала хэши файлов PathWiper и правила для Snort, позволяющие обнаружить вредоносную активность на ранней стадии. Однако учитывая высокий уровень прав доступа, которым изначально обладали злоумышленники, предотвращение атак зависит не только от сигнатур, но и от грамотной сегментации сети, мониторинга привилегий и ограничений на запуск скриптов.
PathWiper — лишь последнее звено в длинной цепочке разрушительных инструментов, используемых в киберконфликте против Украины. С начала войны в 2022 году страну атаковали десятки аналогичных программ , включая DoubleZero, CaddyWiper, IsaacWiper, WhisperKill, WhisperGate и AcidRain. Эти атаки отличались изощрённостью и системностью, и практически всегда были направлены против государственных структур, энергетики, телекоммуникаций и транспортных узлов.
Весьма характерно, что в новых версиях подобных вредоносов растёт акцент на обманные методы внедрения, маскировку под легитимное ПО и минимальное присутствие на диске. PathWiper вписывается в этот тренд, что делает его сложным объектом для анализа и требует особого внимания со стороны специалистов по киберзащите.
На фоне продолжающихся угроз украинской ИТ-инфраструктуре PathWiper становится новым вызовом для систем обнаружения и реагирования. Его методы, глубина поражения и отсутствие классических признаков атаки — всё это заставляет пересматривать существующие подходы к защите от APT -кампаний.