São Paulo — InkDesign News — Uma nova variante de malware wiper, chamada “PathWiper”, foi utilizada em um ciberataque contra uma organização de infraestrutura crítica na Ucrânia, levantando preocupações sobre as ameaças cibernéticas contínuas à região.
Vetor de ataque
Pesquisadores da Cisco Talos identificaram que o ataque do PathWiper foi realizado por meio de uma “estrutura de administração de endpoint legítima”, sugerindo que os atacantes utilizaram um console administrativo para executar comandos e implantar o malware em todos os endpoints conectados.
Os atacantes demonstraram conhecimento prévio do funcionamento do console, utilizando nomes de arquivos e ações que imitavam os da utilidade administrativa.
“Os nomes de arquivos e ações utilizados foram planejados para imitar aqueles implantados pelo console da utilidade administrativa, indicando que os atacantes tinham conhecimento prévio do console e possivelmente de sua funcionalidade dentro do ambiente da vítima.”
(“Filenames and actions used were intended to mimic those deployed by the administrative utility’s console, indicating that the attackers had prior knowledge of the console and possibly its functionality within the victim enterprise’s environment.”)— Pesquisadores, Cisco Talos
Impacto e resposta
A principal diferença do PathWiper em relação a outros malwares como o HermeticWiper está no seu mecanismo de corrupção, que identifica programaticamente todas as unidades conectadas (incluindo as desconectadas), verificando rótulos de volume. Uma vez que o malware coleta todos os caminhos de armazenamento e rede, ele sobrescreve os ativos com bytes gerados aleatoriamente.
Embora a eficácia do PathWiper no ataque a infraestruturas críticas ainda não tenha sido determinada, essa abordagem mais sofisticada pode resultar em danos mais significativos.
Análise e recomendações
Organizações devem estar cientes de que o caminho para a mitigação inclui a implementação de controles de segurança mais rigorosos e a verificação contínua de ações administrativas. A adaptação de respostas às novas metodologias de ataque é crucial para proteger ativos críticos. É recomendável que as empresas realizem avaliações regulares de vulnerabilidades e estejam preparadas para detectar atividades suspeitas na infraestrutura cibernética.
O ataque do PathWiper ressalta a necessidade urgente de melhorar a segurança cibernética em setores críticos, especialmente em regiões em conflito. Espera-se um aumento nos esforços para neutralizar ameaças desse tipo nas próximas semanas, à medida que mais informações se tornem disponíveis.
Fonte: (Dark Reading – Segurança Cibernética)
