Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware PathWiper-Malware

PathWiper-Malware

Von Mezo in Malware
Übersetzen Sie in:

Eine neue Variante der zerstörerischen Schadsoftware PathWiper wurde bei gezielten Cyberangriffen auf kritische Infrastrukturen in der Ukraine entdeckt. Ihr Hauptziel ist klar: die Störung und Lahmlegung der operativen Kapazitäten im Land.

Heimliche Bereitstellung über legitime Tools

Die Angreifer haben die PathWiper-Nutzlast mithilfe eines legitimen Endpunktverwaltungstools bereitgestellt. Diese Methode deutet darauf hin, dass die Angreifer bereits durch eine vorherige Kompromittierung administrativen Zugriff auf die Zielsysteme erlangt hatten. Dies unterstreicht die Raffinesse und Planung hinter dem Angriff.

Zuschreibung: Ein bekannter Gegner kehrt zurück

Cybersicherheitsforscher, die den Vorfall untersuchten, führten den Angriff mit hoher Wahrscheinlichkeit auf eine mit Russland verbundene Advanced Persistent Threat (APT) zurück. Die beobachteten Taktiken, Techniken und Verfahren (TTPs) ähneln stark denen von Sandworm, einer bekannten Bedrohungsgruppe, die zuvor für den Einsatz von HermeticWiper in der Ukraine verantwortlich war.

PathWiper: Ein wahrscheinlicher Nachfolger von HermeticWiper

PathWiper weist erhebliche Ähnlichkeiten mit HermeticWiper auf, was darauf schließen lässt, dass es sich um eine Weiterentwicklung dieser früheren Malware handelt. Beide zielen darauf ab, durch die Beschädigung kritischer Systemdaten maximalen Schaden anzurichten. Die Verhaltensüberschneidungen deuten darauf hin, dass es sich um dieselben oder eng verwandte Bedrohungscluster handelt.

Eine mehrstufige Angriffskette

Die Ausführung der Malware erfolgt über einen mehrstufigen Prozess:

  • Eine Windows-Batchdatei löst ein schädliches VBScript (uacinstall.vbs) aus.
  • Das Skript legt die Kernnutzlast (sha256sum.exe) ab und führt sie aus. Um einer Erkennung zu entgehen, wird es als legitimes Verwaltungstool getarnt.

Erweiterte Laufwerksaufzählung und Volume-Sabotage

Im Gegensatz zu HermeticWiper, dessen Fokus auf der Aufzählung physischer Laufwerke lag, geht PathWiper einen Schritt weiter und identifiziert programmgesteuert alle angeschlossenen Laufwerke, einschließlich lokaler, Netzwerk- und deaktivierter Volumes. Anschließend nutzt es Windows-APIs, um diese Volumes zur Vorbereitung auf Sabotage zu deaktivieren.

Die Malware erzeugt Threads für jedes Volume, um wichtige NTFS-Strukturen zu überschreiben und Systeme dadurch effektiv funktionsunfähig zu machen.

Gezielte Zerstörung zentraler Systemdateien

Zu den von PathWiper beschädigten Systemkomponenten gehören:

  • MBR (Master Boot Record): Enthält Bootloader und Partitionstabelle.
  • $MFT (Master File Table): Verwaltet den Index aller Dateien und Verzeichnisse.
  • $LogFile: Verfolgt Änderungen hinsichtlich Integrität und Wiederherstellung.
  • $Boot: Speichert Informationen zum Bootsektor und Dateisystem.

Darüber hinaus werden fünf weitere kritische NTFS-Metadatendateien mit zufälligen Bytes überschrieben, wodurch zusätzlich sichergestellt wird, dass die betroffenen Systeme nicht wiederhergestellt werden können.

Kein Lösegeld, keine Forderungen – nur Zerstörung

Bemerkenswert ist, dass die Angriffe mit PathWiper keinerlei Erpressung oder Lösegeldforderungen beinhalten. Dies bestätigt das Hauptziel: die vollständige Störung des Betriebs und nicht den finanziellen Gewinn.

Wiper: Ein wiederkehrendes Werkzeug in der hybriden Kriegsführung

Seit Beginn des Krieges in der Ukraine sind Datenlöscher zu einem Markenzeichen russischer Cyber-Operationen geworden. Diese Tools wurden in zahlreichen Kampagnen mit verheerender Wirkung eingesetzt. Weitere bekannte Löschprogramme, die in erkannten Angriffskampagnen eingesetzt wurden, sind: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain und weitere.

Jeder dieser Angriffe spielte eine Rolle in einer umfassenderen Strategie zur Destabilisierung der ukrainischen Infrastruktur durch Cyberkrieg.

Fazit: PathWiper markiert eine gefährliche Entwicklung

PathWiper ist ein Beispiel für die anhaltende Eskalation destruktiver Cyber-Tools, die gegen die Ukraine eingesetzt werden. Mit fortschrittlichen Umgehungstechniken, tiefgreifender Sabotage auf Systemebene und der Zuordnung zu bekannten russischen APTs stellt PathWiper eine erhebliche Bedrohung im modernen Cyber-Konflikt dar.

Im Trend

Am häufigsten gesehen

Wird geladen...