Yeni PathWiper Kötü Amaçlı Yazılımı Ukrayna'nın Kritik Altyapısını Vurdu

PathWiper adlı yeni tanımlanmış bir kötü amaçlı yazılım yakın zamanda Ukrayna'daki temel hizmetleri hedef alan bir siber saldırıda kullanıldı. Cisco Talos'taki siber güvenlik uzmanları bu hafta olayı bildirdi ve ayrıntıları Hackread.com ile paylaştı.

Bilginize, siliciler bilgisayar sistemlerindeki verileri silmek veya bozmak için tasarlanmış bir tür kötü amaçlı yazılımdır ve bu da onları kullanılamaz hale getirir. Bu saldırıda, siber suçlular bilgisayar ağlarını yöneten meşru bir sisteme girmeyi başardılar. Araştırmacılar, muhtemelen bu sistem hakkında içeriden bilgiye sahip olduklarını ve bunun da zararlı komutlar göndermelerine ve PathWiper'ı bağlı cihazlara yaymalarına olanak sağladığını belirtti.

Şirket, blog yazısında "Saldırı boyunca kullanılan dosya adları ve eylemler, yönetim yardımcı programının konsolu tarafından dağıtılanları taklit etmeyi amaçlıyordu; bu da saldırganların konsol ve muhtemelen kurban işletmenin ortamındaki işlevselliği hakkında önceden bilgi sahibi olduklarını gösteriyor" ifadelerini kullandı .

Kötü amaçlı yazılım, bir bilgisayarın dosya sisteminin önemli parçalarını rastgele bilgilerle değiştirerek çalışır. Sabit diskler ve ağ sürücüleri dahil olmak üzere tüm bağlı depolama aygıtlarını bulur ve ardından içeriklerinin üzerine yazar. Saldırganlar, tespit edilmekten kaçınmak için eylemlerini ağ yönetim aracının normal işlemleri gibi göstermeye çalıştı.

Cisco Talos, bu yıkıcı saldırının arkasında Rusya destekli bir Gelişmiş Kalıcı Tehdit (APT) aktörünün olduğuna inanıyor. Güvenleri, benzer saldırı yöntemlerini ve bu silme kötü amaçlı yazılımının daha önce Ukrayna hedeflerine yönelik görülen saldırılarla eşleşen yeteneklerini gözlemlemelerinden geliyor.

PathWiper, 2022'de Ukraynalı kuruluşları hedef alan HermeticWiper adlı başka bir silme kötü amaçlı yazılımıyla bazı özellikleri paylaşıyor. Hem PathWiper hem de HermeticWiper, Ana Önyükleme Kaydı (MBR) ve Yeni Teknoloji Dosya Sistemi (NTFS) ile ilgili dosyalar gibi bir bilgisayarın depolama alanının önemli parçalarına zarar vermeyi amaçlıyor.

Ancak, sürücüleri nasıl bozdukları konusunda önemli bir fark vardır. PathWiper daha gelişmiştir; geçici olarak bağlantısı kesilmiş olanlar da dahil olmak üzere tüm bağlı sürücüleri dikkatlice belirler ve silmeden önce bunları doğrular. Buna karşılık, HermeticWiper yalnızca bir dizi fiziksel sürücüyü bozmaya çalışmak gibi daha basit bir yöntem kullanır.

Saldırı, Rusya ile çatışma devam ederken Ukrayna'nın kritik altyapısına yönelik devam eden tehlikeyi gösteriyor. Uç nokta koruması, e-posta güvenliği, güvenlik duvarları, ağ analizi ve kötü amaçlı yazılım analizi için güvenlik ürünleri kullanılması önerilir. Bu araçlar, kuruluşların kötü amaçlı faaliyetleri tespit etmesine ve engellemesine, zararlı e-postaları ve web sitelerini engellemesine ve yalnızca yetkili kullanıcılara erişim sağlamak için çok faktörlü kimlik doğrulaması sağlamasına yardımcı olur.