PathWiper не просто затёр диски — он обнулил целую страну. Без шансов на перезагрузку

В Украине зафиксирована новая волна атак, нацеленных на разрушение критически важной инфраструктуры. В центре внимания — вредоносная программа класса вайпер под названием PathWiper, предназначенная не для вымогательства или хищения данных, а исключительно для уничтожения цифровых систем до состояния полной неработоспособности.

По данным исследовательской группы Cisco Talos , PathWiper был загружен через одно из легитимных средств удалённого управления устройствами, что говорит о том, что киберпреступники уже обладали расширенными правами доступа внутри сети ещё до момента активации вредоноса. Судя по всему, проникновение произошло заранее — с использованием уязвимостей или компрометацией доверенного программного инструмента.

К делу могут быть причастны те же структуры, что стояли за распространением HermeticWiper — известного инструмента разрушения данных, использованного в Украине в 2022 году.

В функциональности PathWiper прослеживаются прямые параллели с HermeticWiper, однако новый инструмент демонстрирует более комплексный подход к уничтожению файловой структуры. Такое сходство дало основание предположить, что PathWiper — не самостоятельная разработка, а логичное продолжение существующего арсенала, эволюционировавшее под задачи текущей кампании.

Запуск на заражённом устройстве начинается с выполнения .bat-файла, который активирует вредоносный VBScript под именем uacinstall.vbs. Тот, в свою очередь, загружает и запускает главный разрушающий модуль — sha256sum.exe. Названия всех компонентов подобраны таким образом, чтобы не вызвать подозрений, визуально напоминая утилиты для администрирования.

Одна из характерных черт вайпера - нестандартная тактика сканирования носителей. Если HermeticWiper ограничивался физическими дисками, то новая версия дополнительно выявляет сетевые, отключённые и ранее смонтированные тома. Такой охват позволяет вредоносу воздействовать на максимальное количество доступных хранилищ.

Далее PathWiper обращается к средствам Windows для принудительного размонтирования обнаруженных томов — это даёт возможность обойти возможные ограничения доступа. После подготовки среды запускается параллельный процесс перезаписи, в котором каждый поток занимается повреждением одного из разделов, затрагивая критические структурные элементы файловой системы NTFS.

Целью атаки становятся критически важные служебные структуры NTFS. В их число входят:

• MBR (Master Boot Record) — первый сектор физического диска, содержащий загрузчик и таблицу разделов. Уничтожение MBR делает невозможной загрузку системы.
• $MFT (Master File Table) — центральный каталог файловой системы, хранящий информацию о каждом файле, включая его расположение.
• $LogFile — журнал, используемый для логирования операций с файлами и восстановления при сбоях.
• $Boot — содержит структуру загрузочного сектора и информацию о расположении системных компонентов.

Помимо этих четырёх элементов, PathWiper перезаписывает ещё пять системных файлов NTFS, детали которых пока не раскрываются публично.

Вся вышеуказанная информация замещается случайными байтами, что делает восстановление данных практически невозможным. Затронутая система становится полностью нефункциональной, не подлежит нормальной загрузке и теряет доступ ко всем хранившимся ранее материалам.

Важно отметить, что в ходе наблюдавшихся атак не фиксировалось ни одного признака вымогательства или требования выкупа. Отсутствие финансового мотива говорит о том, что основная цель операций — не извлечение прибыли, а именно подрыв работы инфраструктуры, парализация систем и нанесение ущерба на базовом уровне. Типичная картина для политически мотивированных кампаний.

В качестве контрмер Cisco Talos опубликовала хэши файлов PathWiper и правила для Snort, позволяющие обнаружить вредоносную активность на ранней стадии. Однако учитывая высокий уровень прав доступа, которым изначально обладали злоумышленники, предотвращение неприятностей зависит не только от сигнатур, но и от грамотной сегментации сети, мониторинга привилегий и ограничений на запуск скриптов.

С начала 2022 года страну атаковали десятки аналогичных программ , включая DoubleZero, CaddyWiper, IsaacWiper, WhisperKill, WhisperGate и AcidRain. Практически всегда атаки были направлены против государственных структур, энергетики, телекоммуникаций и транспортных узлов. Весьма характерно, что в новых версиях подобных вредоносов растёт акцент на обманные методы внедрения, маскировку под легитимное ПО и минимальное присутствие на диске.