Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant PathWiper

Logiciel malveillant PathWiper

Par Mezo en Logiciels malveillants
Se traduisent par :

Une nouvelle souche de malware destructeur, baptisée PathWiper, a été identifiée lors de cyberattaques ciblées visant des infrastructures critiques en Ukraine. Son objectif principal est clair : perturber et paralyser les capacités opérationnelles du pays.

Déploiement furtif via des outils légitimes

Les attaquants ont déployé la charge utile PathWiper à l'aide d'un outil d'administration de terminaux légitime. Ce mode de diffusion suggère que les acteurs malveillants avaient déjà obtenu un accès administratif aux systèmes ciblés grâce à une compromission antérieure, mettant en évidence la sophistication et la planification de l'attaque.

Attribution : Le retour d’un adversaire familier

Les chercheurs en cybersécurité qui enquêtent sur l'incident ont attribué l'attaque, avec une grande certitude, à une menace persistante avancée (APT) liée à la Russie. Les tactiques, techniques et procédures (TTP) observées ressemblent beaucoup à celles de Sandworm, un groupe de cybercriminels connu pour avoir déployé HermeticWiper en Ukraine.

PathWiper : un successeur probable d’HermeticWiper

PathWiper présente d'importantes similitudes avec HermeticWiper, suggérant qu'il pourrait s'agir d'une évolution de ce dernier. Tous deux visent à infliger un maximum de dégâts en corrompant les données système critiques, et leur chevauchement de comportement implique l'implication de groupes de menaces identiques ou étroitement liés.

Une chaîne d’attaque à plusieurs étapes

Le logiciel malveillant s'exécute via un processus en plusieurs étapes :

  • Un fichier batch Windows déclenche un VBScript malveillant (uacinstall.vbs).
  • Le script supprime et exécute la charge utile principale (sha256sum.exe), déguisée pour ressembler à un outil d'administration légitime pour échapper à la détection.

Énumération avancée des lecteurs et sabotage des volumes

Contrairement à HermeticWiper, qui se concentrait sur l'énumération des disques physiques, PathWiper va plus loin en identifiant par programmation tous les disques connectés, y compris les volumes locaux, réseau et démontés. Il exploite ensuite les API Windows pour démonter ces volumes en prévision d'un sabotage.

Le logiciel malveillant génère des threads pour chaque volume afin d'écraser les structures NTFS essentielles, rendant ainsi les systèmes inutilisables.

Destruction ciblée des fichiers du système central

Parmi les composants système corrompus par PathWiper figurent :

  • MBR (Master Boot Record) : contient le chargeur de démarrage et la table de partition.
  • $MFT (Master File Table) : maintient l'index de tous les fichiers et répertoires.
  • $LogFile : suit les modifications pour l’intégrité et la récupération.
  • $Boot : stocke les informations sur le secteur de démarrage et le système de fichiers.

De plus, cinq autres fichiers de métadonnées NTFS critiques sont écrasés par des octets aléatoires, garantissant ainsi que les systèmes affectés ne peuvent pas être récupérés.

Pas de rançon, pas de demandes - seulement la destruction

Il est à noter que les attaques impliquant PathWiper n'incluent aucune forme d'extorsion ni de demande de rançon. Cette absence confirme l'objectif principal : la perturbation totale des opérations, plutôt que le profit financier.

Essuie-glaces : un outil récurrent dans la guerre hybride

Depuis le début de la guerre en Ukraine, les effaceurs de données sont devenus un élément emblématique des cyberopérations russes. Ces outils ont été déployés dans de multiples campagnes, avec des effets dévastateurs. Parmi les autres effaceurs de données utilisés lors de campagnes d'attaques détectées, on peut citer : CaddyWiper , HermeticWiper , IsaacWiper , AcidRain , et bien d'autres.

Chacun d’entre eux a joué un rôle dans une stratégie plus large de déstabilisation des infrastructures ukrainiennes par le biais de la cyberguerre.

Conclusion : PathWiper marque une évolution dangereuse

PathWiper illustre l'escalade continue des cyberattaques destructrices contre l'Ukraine. Grâce à ses techniques d'évasion avancées, à son sabotage systémique en profondeur et à son attribution à des menaces persistantes avancées russes connues, il représente une menace importante dans le paysage des cyberconflits modernes.

Tendance

Le plus regardé

Chargement...