Nieuwe wiper malware stam treft Oekraïense kritieke infrastructuur

Cisco Talos meldt dat de aanval gericht was op een niet nader gespecificeerde kritieke infrastructuur entiteit in Oekraïne. De onderzoekers schrijven de aanval toe aan een "Russia-nexus advanced persistent threat (APT) group", daarbij verwijzend naar tactische overeenkomsten met eerdere pro-Russische cyberoperaties zo meldt The Register.

Volgens Talos vertoont PathWiper gelijkenissen met HermeticWiper, een destructieve malwarestam die aan het begin van de Russische invasie van Oekraïne in 2022 werd ingezet. Aanvallen met HermeticWiper werden destijds sterk toegeschreven aan Sandworm, een divisie binnen de Russische inlichtingendiensten.

Hoewel zowel PathWiper als HermeticWiper de master boot record en NTFS-gerelateerde artefacten proberen te beschadigen, verschillen hun corruptiemechanismen aanzienlijk. Talos licht toe dat PathWiper "programmatisch alle verbonden, inclusief ontkoppelde, schijven en volumes op het systeem identificeert, volumelabels voor verificatie identificeert en geldige records documenteert." Dit in tegenstelling tot HermeticWiper, dat een eenvoudiger proces van opsomming van fysieke schijven van 0 tot 100 en pogingen om deze te beschadigen hanteerde.

Lees meer hier.