El nuevo malware PathWiper ataca la infraestructura crítica de Ucrania

Un malware recientemente identificado, llamado PathWiper, se utilizó recientemente en un ciberataque dirigido a servicios esenciales en Ucrania. Expertos en ciberseguridad de Cisco Talos informaron del incidente esta semana y compartieron detalles con Hackread.com.

Para su información, los wipers son un tipo de malware diseñado para borrar o corromper datos en sistemas informáticos, dejándolos inutilizables. En este ataque, los ciberdelincuentes lograron acceder a un sistema legítimo que gestiona redes informáticas. Probablemente tenían conocimiento interno de este sistema, lo que les permitió enviar comandos dañinos y propagar PathWiper a los dispositivos conectados, señalaron los investigadores.

“Durante el transcurso del ataque, los nombres de archivos y las acciones utilizadas tenían como objetivo imitar los implementados por la consola de la utilidad administrativa, lo que indica que los atacantes tenían conocimiento previo de la consola y posiblemente de su funcionalidad dentro del entorno de la empresa víctima”, escribió la compañía en su publicación de blog .

El malware funciona reemplazando partes importantes del sistema de archivos de una computadora con información aleatoria. Encuentra todos los dispositivos de almacenamiento conectados, incluyendo discos duros y unidades de red, y sobrescribe su contenido. Los atacantes intentaron simular operaciones normales de la herramienta de administración de red para evitar ser detectados.

Cisco Talos cree que un actor de amenazas persistentes avanzadas (APT) respaldado por Rusia está detrás de este ataque disruptivo. Su confianza se basa en la observación de métodos de ataque similares y las capacidades de este malware de borrado, que coinciden con ataques anteriores contra objetivos ucranianos.

PathWiper comparte algunas características con otro malware limpiador llamado HermeticWiper , que también apuntó a entidades ucranianas en 2022. Tanto PathWiper como HermeticWiper tienen como objetivo dañar partes clave del almacenamiento de una computadora, como el Master Boot Record (MBR) y los archivos relacionados con el New Technology File System (NTFS).

Sin embargo, existe una diferencia clave en cómo corrompen las unidades. PathWiper es más avanzado; identifica cuidadosamente todas las unidades conectadas, incluso las que están temporalmente desconectadas, y las verifica antes de borrarlas. En cambio, HermeticWiper utiliza un método más sencillo: simplemente intenta corromper varias unidades físicas.

El ataque demuestra el peligro constante que corre la infraestructura crítica de Ucrania a medida que continúa el conflicto con Rusia. Se recomienda utilizar productos de seguridad para la protección de endpoints, la seguridad del correo electrónico, los firewalls, el análisis de red y el análisis de malware. Estas herramientas ayudan a las organizaciones a detectar y prevenir actividades maliciosas, bloquear correos electrónicos y sitios web dañinos, y proporcionar autenticación multifactor para permitir el acceso solo a usuarios autorizados.