El malware de limpiaparabrisas denominado ‘PathWiper’ ha sido empleado en ataques dirigidos a la infraestructura crítica de Ucrania, con la finalidad de interrumpir sus operaciones. La implementación de este malware se llevó a cabo mediante una herramienta de administración de punto final legítima, lo que sugiere que los atacantes habían conseguido acceso administrativo a través de una penetración previa del sistema.
Cisco Talos, el grupo de investigadores que descubrió este ataque, ha atribuido con alta confianza la amenaza a una organización de amenazas persistentes avanzadas (APT) asociada con Rusia. PathWiper ha sido comparado con otro malware similar, el Hermeticwiper, que también se había desplegado en Ucrania por el grupo de amenazas conocido como ‘Sandworm’. Esto sugiere que PathWiper podría ser una evolución diseñada para mejorar las tácticas de ataques de grupos de amenazas con intereses convergentes.
Descripción Técnica de PathWiper
PathWiper se ejecuta en los sistemas afectados a través de un archivo por lotes de Windows que lanza un script malicioso en VBScript (uacinstall.vbs). Este script, a su vez, descarga y ejecuta la carga útil principal (identificada como sha256sum.exe). La táctica que utiliza PathWiper imita el funcionamiento de herramientas de administración legítimas, un enfoque diseñado para evadir la detección por parte de sistemas de seguridad.
A diferencia del Hermeticwiper, que solo enumeraba unidades físicas, PathWiper identifica programáticamente todas las unidades conectadas al sistema, incluídas las redes y las desmontadas. Utilizando las API de Windows, PathWiper desmonta estas unidades para prepararlas para la corrupción, creando hilos específicos para cada volumen que permite sobrescribir estructuras críticas del sistema de archivos NTFS.
Entre los archivos esenciales que PathWiper sobrescribe se encuentran:
- MBR (Registro de arranque maestro): Primer sector que contiene el cargador de arranque y la tabla de partición.
- $MFT (Tabla de archivos maestros): Archivo central de NTFS que registra todos los archivos y directorios junto con sus metadatos.
- $Logfile: Diario que rastrea transacciones dentro de NTFS para garantizar la integridad del sistema.
- $Boot: Archivo con información sobre el diseño del sistema de arranque y el sistema de archivos.
Al sobrescribir estos y otros cinco archivos críticos de NTFS con bytes aleatorios, PathWiper inhabilita completamente los sistemas afectados, llevándolos a un estado irreparable. A diferencia de otros tipos de ransomware, los ataques utilizando PathWiper no implican extorsión o demandas financieras, enfocándose únicamente en la destrucción y la interrupción de operaciones críticas.
Cisco Talos ha compartido reglas de hash y guías de análisis para ayudar en la detección del malware y evitar que cause más daño a los sistemas.
Contexto de Ataques en Ucrania
Desde el inicio de la guerra en Ucrania, el uso de malware limpiaparabrisas se ha incrementado considerablemente. Los actores de amenaza respaldados por Rusia emplean estas herramientas para desestabilizar continuamente las operaciones del país, utilizando múltiples variantes como Doblezero, Pilón, Hermeticwiper, Isaacwiper, Whisperkill, Whispergate y Ácido.
La tendencia a utilizar limpiaparabrisas como PathWiper refleja un enfoque sistemático de los atacantes para causar daño significativo al país, añadiendo una capa de complejidad a las ya desafiantes condiciones en la región. Los ataques cibernéticos que buscan la destrucción en lugar de la monetización resaltan la seriedad del conflicto y la importancia de la ciberseguridad en la protección de infraestructuras fundamentales.
En resumen, PathWiper representa una amenaza significativa en el contexto de los ciberataques actuales, donde la destrucción de datos es la principal motivación, lo que dificulta enormemente la respuesta ante tales incidentes y exige una vigilancia continua para proteger la infraestructura crítica.