Содержание[Свернуть] |
Хроника
2025: Атака на инфраструктуру Украины
Объекты критической инфраструктуры Украины подверглись атакам нового вредоносного программного обеспечения PathWiper, предназначенного для полного уничтожения данных в зараженных системах. Об этом сообщили аналитики компании Cisco Talos в исследовании, опубликованном в июне 2025 года.
Новый вредонос был развернут через легитимные инструменты администрирования эндпоинтов, что свидетельствует о предварительном получении злоумышленниками административного доступа к целевым системам. Атаки на украинскую инфраструктуру не сопровождались требованиями выкупа или финансовыми претензиями.
Исследователи проводят параллели между PathWiper и другим деструктивным вредоносом HermeticWiper, который ранее применялся в атаках на Украину хакерской группировкой Sandworm. Сходство между этими угрозами позволяет предположить связь между кластерами злоумышленников, использующих данные инструменты.Внедрение ArhiCloud + 1C для производства строительных материалов: масштабная цифровая трансформация и реальная выгода
PathWiper разворачивается в целевых системах через batch-файлы Windows, которые запускают вредоносный VBScript под именем uacinstall.vbs. Этот скрипт загружает и выполняет основную полезную нагрузку в виде файла sha256sum.exe.
Для уклонения от обнаружения вредонос имитирует поведение и использует названия, ассоциирующиеся с легитимными инструментами системного администрирования. Такая маскировка позволяет малвари оставаться незамеченной в течение длительного времени.
В отличие от HermeticWiper, который просто перечисляет физические диски, PathWiper программно определяет все подключенные диски — локальные, сетевые и демонтированные. Затем вредонос злоупотребляет возможностями Windows API для демонтажа томов и подготовки их к уничтожению.
Малварь создает отдельный поток для каждого тома, чтобы перезаписать критические структуры файловой системы NTFS. Основными мишенями становятся Master Boot Record (MBR) — первый сектор физического диска, содержащий загрузчик и таблицу разделов.
PathWiper также атакует Master File Table ($MFT) — основной системный файл NTFS, содержащий каталог всех файлов и папок, включая их расположение на диске и метаданные. Под удар попадает журнал $LogFile, используемый для регистрации операций NTFS и отслеживания изменений файлов.[1]