PathWiper-Malware zielt auf das digitale Rückgrat der Ukraine ab

Eine weitere digitale Bedrohung taucht auf

Eine weitere entdeckte Schadsoftware namens PathWiper wurde bei einem Cyberangriff auf kritische Infrastruktur in der Ukraine identifiziert. Sicherheitsforscher fanden heraus, dass die zerstörerische Software über eine legitime Endpunktverwaltungsplattform verbreitet wurde. Dies deutet darauf hin, dass die Angreifer die volle Kontrolle über die Verwaltungskonsole des Systems hatten. Dieser Zugriff ermöglichte eine nahtlose und flächendeckende Verbreitung der Schadsoftware auf mehreren Geräten im Zielnetzwerk.

Was ist PathWiper?

PathWiper ist eine Form von „Wiper“-Malware – eine Klasse von Schadsoftware, die darauf ausgelegt ist, Daten auf infizierten Systemen unwiederbringlich zu zerstören. Nach der Ausführung scannt PathWiper alle angeschlossenen Speichergeräte eines Systems, einschließlich physischer Laufwerke, freigegebener und nicht freigegebener Netzwerkvolumes sowie Wechseldatenträger. Anschließend werden mehrere Threads gestartet, um jedes erkannte Volume gleichzeitig anzugreifen. Dabei werden die Daten durch zufällig generierte Bytes ersetzt, wodurch die Daten dauerhaft unwiederbringlich werden.

Fortgeschrittene Zerstörungstaktiken

Im Gegensatz zu typischer Malware, die darauf abzielt, Informationen zu stehlen oder Systeme zu blockieren, ist PathWiper rein destruktiv. Es identifiziert programmgesteuert alle Speicherpfade und zielt direkt auf kritische Dateisystemkomponenten wie den Master Boot Record (MBR) und wichtige NTFS-Artefakte wie $MFT, $LogFile und $Bitmap ab. Vor dem Überschreiben versucht PathWiper, das Volume zu demontieren, um eine saubere und vollständige Zerstörung zu gewährleisten. Dieser gezielte Ansatz erschwert die Wiederherstellung erheblich.

Spuren eines erfahrenen Gegners

Die Taktik und der Programmierstil von PathWiper ähneln stark denen zuvor identifizierter Schadsoftware im Zusammenhang mit von Russland unterstützten Cyber-Operationen. Experten weisen insbesondere auf Ähnlichkeiten mit HermeticWiper hin, einer Schadsoftware aus dem Jahr 2022, die ebenfalls gegen ukrainische Systeme eingesetzt wurde. Im Gegensatz zu HermeticWiper, das eine einfachere Methode zur Lokalisierung und Beschädigung von Laufwerken verwendete, führt PathWiper jedoch präzisere Scans durch und verwendet ein ausgefeilteres System zur Bestätigung der Laufwerksidentität, bevor die Zerstörung eingeleitet wird.

Warum das wichtig ist

Das Auftauchen von PathWiper unterstreicht einen wachsenden Trend in der Cyberkriegsführung: den Einsatz zerstörerischer Werkzeuge, die nicht für Spionage, sondern zur Lahmlegung von Operationen entwickelt wurden. Für die Ukraine, deren kritische Infrastruktur aufgrund des anhaltenden Konflikts bereits stark belastet ist, stellen solche Angriffe erhebliche Risiken für die Stabilität und Kontinuität wichtiger Dienste dar. Die Fähigkeit der Schadsoftware, Systeme mit chirurgischer Präzision zu löschen, gibt Anlass zur Sorge über die sich entwickelnden digitalen Bedrohungen für die nationale Infrastruktur.

Auswirkungen über die Ukraine hinaus

Obwohl sich dieser Vorfall in der Ukraine ereignete, offenbaren die verwendeten Angriffsmethoden Schwachstellen, die auch in anderen Ländern und Sektoren ausgenutzt werden könnten. Die Verwendung eines legitimen Verwaltungstools zur Verbreitung der Schadsoftware verdeutlicht ein umfassenderes Problem: Sobald Angreifer Zugriff auf Verwaltungstools erhalten, können selbst vertrauenswürdige Plattformen zu Zielen für groß angelegte Sabotage werden. Dies wirft dringende Fragen zur Endpunktsicherheit, zur Zugriffskontrolle und zur Notwendigkeit einer kontinuierlichen Überwachung kritischer Systeme auf.

Ein Blick in die Zukunft der Cyber-Bedrohungen

Die zunehmende Raffinesse von Wiper-Malware wie PathWiper markiert einen Wandel in der Cybersicherheitslandschaft. Anstatt unbemerkt zu agieren, sollen diese Tools schnell und unumkehrbar Wirkung zeigen. Dieser Angriff zeigt, dass sich die Cyberkriegsführung selbst in einem langwierigen Konflikt wie dem in der Ukraine weiterentwickelt. Gegner setzen immer raffiniertere Waffen ein, um Störungen und großen Schaden anzurichten.

Fazit

Für Unternehmen weltweit ist die Entdeckung von PathWiper ein Warnsignal, ihre Abwehrmaßnahmen zu verstärken. Dazu gehören eine strengere Kontrolle des Administratorzugriffs, regelmäßige Überprüfungen der Endpunktintegrität und der Einsatz von Früherkennungssystemen, die abnormales Verhalten erkennen. Die Gewährleistung isolierter und sicherer Backups ist ebenfalls von entscheidender Bedeutung.