11,6 тыс подписчиков

Новый вредонос PathWiper угрожает Украине

9 июня 20259 июн 2025

2 мин

Изображение: recraft Специалисты Cisco Talos сообщили о новом инструменте цифрового разрушения, зафиксированном в ходе кибервторжений на территорию Украины. Вредоносная программа, получившая имя PathWiper, применяется для выведения из строя оборудования, обслуживающего важные направления работы государства. Как подчёркивают эксперты Cisco Talos, заражение происходит через законный программный компонент, используемый администраторами для удалённого управления. Такой подход говорит о том, что злоумышленники заранее получили высокий уровень доступа, взломав защищённые учётные записи. Исходя из изученных следов, исследователи почти уверены в связи атаки с российскими структурами, применяющими устойчивые методы долгосрочного проникновения в инфраструктуру (APT). Согласно опубликованному анализу, PathWiper близок по функциональности к ранее замеченному вредоносному коду HermeticWiper, который применяла группа Sandworm. Специалисты предполагают, что речь идёт о новой модификации старого кода,

Изображение: recraft

Специалисты Cisco Talos сообщили о новом инструменте цифрового разрушения, зафиксированном в ходе кибервторжений на территорию Украины. Вредоносная программа, получившая имя PathWiper, применяется для выведения из строя оборудования, обслуживающего важные направления работы государства.

Как подчёркивают эксперты Cisco Talos, заражение происходит через законный программный компонент, используемый администраторами для удалённого управления. Такой подход говорит о том, что злоумышленники заранее получили высокий уровень доступа, взломав защищённые учётные записи. Исходя из изученных следов, исследователи почти уверены в связи атаки с российскими структурами, применяющими устойчивые методы долгосрочного проникновения в инфраструктуру (APT).

Согласно опубликованному анализу, PathWiper близок по функциональности к ранее замеченному вредоносному коду HermeticWiper, который применяла группа Sandworm. Специалисты предполагают, что речь идёт о новой модификации старого кода, использованной теми же самыми или аффилированными субъектами.

PathWiper активируется на компьютерах жертвы через пакетный скрипт Windows, который запускает вредоносный VBScript под названием uacinstall.vbs. Далее происходит инсталляция основной программы sha256sum.exe, замаскированной под компонент системного администрирования. Такое поведение позволяет обойти базовые средства защиты и остаться незамеченным.

В отличие от HermeticWiper, новый вредонос не ограничивается физическими дисками — он способен определить весь перечень накопителей: локальные, сетевые и даже отключённые. Используя API Windows, PathWiper отключает тома от системы, подготавливая их к дальнейшей порче. Затем вредонос создаёт потоки, стирающие критические структуры файловой системы NTFS.

Уничтожению подвергаются важнейшие компоненты, включая:

MBR — главный загрузочный сектор, содержащий таблицу разделов;
$MFT — таблица, в которой хранятся сведения о всех файлах и их размещении;
$LogFile — журнал, фиксирующий изменения и откаты;
$Boot — файл с настройками запуска и описанием структуры;
ещё пять других элементов, жизненно важных для функционирования системы.

Каждая структура перезаписывается случайными наборами данных, после чего устройство становится полностью нефункциональным. При этом, как подчёркивают в Cisco Talos, признаки шантажа или вымогательства отсутствуют. Цель атак — исключительно уничтожение цифровых ресурсов.

Эксперты опубликовали технические индикаторы заражения, включая хэши и правила для системы Snort. По их словам, эти меры помогут выявить вредонос на раннем этапе и не допустить полного стирания информации.

Оригинал публикации на сайте CISOCLUB: "Хакеры применяют программу для удаления данных PathWiper для атак на критическую инфраструктуру в Украине".