Sommario
Nel maggio 2025, Cisco Talos ha scoperto una nuova campagna di attacco cibernetico mirato contro un’entità infrastrutturale critica in Ucraina. L’elemento centrale dell’operazione è un malware inedito denominato PathWiper, progettato specificamente per la distruzione irreversibile di dati e sistemi. L’attribuzione condotta da Talos riconduce l’attacco a un gruppo APT legato alla Russia, in linea con precedenti campagne distruttive come HermeticWiper del 2022.
L’analisi dettagliata mostra un impiego tattico di strumenti amministrativi legittimi come vettore iniziale, suggerendo che gli aggressori avessero già accesso all’infrastruttura tramite credenziali o console di gestione remote. L’attacco ha sfruttato meccanismi standard di distribuzione interna, rendendo la propagazione rapida e silenziosa.
Distribuzione e vettore iniziale: attacco dall’interno
PathWiper è stato distribuito utilizzando una console di amministrazione endpoint legittima, accessibile con credenziali presumibilmente compromesse. I comandi venivano inviati ai client sotto forma di file batch (BAT), che richiamavano uno script uacinstall.vbs. Quest’ultimo, una volta eseguito, scriveva ed eseguiva sha256sum.exe, il componente principale del malware.
Questa sequenza dimostra che l’attaccante possedeva conoscenze tecniche specifiche dell’ambiente bersaglio, utilizzando nomi file e metodi coerenti con le operazioni legittime della console, al fine di camuffare la distribuzione. L’esecuzione mediante script Visual Basic è stata cruciale per evitare detection immediata da parte dei sistemi di sicurezza presenti.
Capacità distruttive avanzate: un attacco al cuore del file system
PathWiper, una volta eseguito, raccoglie informazioni dettagliate su tutte le unità di archiviazione connesse, comprese quelle condivise in rete. Questa fase avviene tramite API di sistema e interrogazioni al registro di Windows, dove il malware cerca specificamente i percorsi di rete montati dagli utenti.
Per ogni volume identificato, PathWiper genera un thread dedicato che sovrascrive direttamente sul disco i seguenti artefatti critici del file system NTFS:
- MBR (Master Boot Record)
- $MFT (Master File Table)
- $MFTMirr (copia di backup del MFT)
- $LogFile, $Boot, $Bitmap, $TxfLog
- $AttrDef e $Tops
La scrittura di dati casuali generati in tempo reale rende questi componenti illeggibili, con la conseguente corruzione completa del file system. Prima della cancellazione, il malware tenta anche di smontare i volumi con comandi FSCTL_DISMOUNT_VOLUME, riducendo la possibilità di interferenza da parte di servizi attivi o antivirus.
Differenze strategiche: PathWiper vs HermeticWiper
Sebbene PathWiper condivida alcune caratteristiche tecniche con il noto HermeticWiper – impiegato contro l’Ucraina nel 2022 – l’analisi operativa rivela strategie divergenti. HermeticWiper si limitava a enumerare fisicamente le unità da 0 a 100, tentandone la distruzione in modo seriale. PathWiper, al contrario, programma in modo selettivo ed efficiente la distruzione: identifica ogni volume, ne verifica l’etichetta, e crea un thread indipendente per ciascun percorso valido.
Questo approccio rende PathWiper più rapido, preciso e letale, soprattutto in ambienti complessi dove esistono molteplici volumi, partizioni montate e condivisioni di rete. Inoltre, l’uso di routine di disassemblaggio e sovrascrittura su metadati NTFS, piuttosto che sui soli file, rende quasi impossibile un ripristino con tecniche forensi standard.
PathWiper mostra quindi una maturazione tecnica rispetto ai suoi predecessori, con l’evidente obiettivo di interrompere in modo permanente le operazioni delle infrastrutture colpite, attraverso una distruzione mirata e irreversibile di tutti i livelli del file system.
Implicazioni strategiche e contesto geopolitico
La scelta del target – una struttura critica ucraina non specificata – suggerisce che l’operazione avesse finalità strategiche oltre il semplice sabotaggio informatico. L’attacco avviene in un momento in cui la guerra tra Russia e Ucraina è ancora in corso, e segnala che le operazioni di cyber warfare distruttivo restano centrali nelle strategie russe.
L’attribuzione dell’attacco a un gruppo APT collegato alla Russia si basa sull’analisi delle tecniche, tattiche e procedure (TTP), che coincidono con precedenti operazioni distruttive. Le somiglianze con HermeticWiper rafforzano la pista che conduce a gruppi come Sandworm (APT44), già implicati in attacchi simili in passato, sebbene Cisco Talos mantenga una formulazione prudente.
Cosa rende PathWiper un malware d’élite
La progettazione di PathWiper rivela una padronanza tecnica su tre livelli:
- Accesso autorizzato e mascheramento operativo: l’uso della console amministrativa legittima rende l’intera operazione invisibile agli occhi degli strumenti di sicurezza più comuni.
- Sovrascrittura selettiva e multithreading: la possibilità di cancellare volumi montati, disconnessi o condivisi con estrema precisione garantisce una distruzione capillare.
- Efficienza e rapidità: ogni thread agisce in parallelo, riducendo i tempi necessari all’eliminazione dei dati su grandi architetture.
Queste caratteristiche posizionano PathWiper tra i wiper più pericolosi e avanzati osservati nel contesto ucraino, in grado di colpire non solo la disponibilità dei dati ma l’intera infrastruttura IT sottostante.
