💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Vue panoramique de la place de l'Indépendance à Kyiv, avec le drapeau ukrainien en premier plan flottant au vent, sur fond de symboles numériques évoquant les cyberattaques et la cybersécurité en Ukraine.

PathWiper : un redoutable malware qui cible l’Ukraine

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
Le malware PathWiper s’attaque aux systèmes critiques ukrainiens en utilisant un outil légitime d’administration pour effacer irrémédiablement les données.

Un outil d’administration détourné pour détruire

En 2025, une nouvelle campagne malveillante cible l’Ukraine. Selon Cisco Talos, un groupe de pirates informatiques lié à l’État russe a exploité un outil légitime de gestion à distance pour propager un malware destructeur, connu sous le nom de PathWiper, au sein d’une organisation d’infrastructure essentielle. Cette attaque rappelle les opérations informatiques menées contre l’Ukraine depuis 2022, impliquant d’autres malwares destructeurs comme HermeticWiper ou IsaacWiper.

Les cybercriminels avaient probablement accès à l’interface centrale de l’outil d’administration, leur permettant d’exécuter des commandes à distance sur les ordinateurs ciblés. Les instructions étaient déployées sous forme de fichiers batch (des scripts automatisés), qui exécutaient un petit programme (VBScript) installant le malware dénommé sha256sum.exe. Cette méthode permettait de passer inaperçu, en imitant les opérations normales du système.

PathWiper a été conçu pour causer des dommages importants, en effaçant les données critiques et en perturbant les opérations des cibles touchées.

PathWiper : un destructeur systématique de données

PathWiper est conçu pour provoquer des pertes de données irréversibles. Une fois lancé, il recherche tous les supports de stockage connectés à l’ordinateur, y compris les disques internes, les clés USB, les volumes réseau et même ceux qui ont été déconnectés. Pour les localiser, il analyse à la fois le système de fichiers et certaines clés du registre Windows.

Ensuite, il lance un processus indépendant (appelé « thread ») pour chaque support identifié. Ces processus vont réécrire les zones critiques du disque avec des données aléatoires. Cela inclut notamment le secteur de démarrage (MBR) ou la table d’indexation des fichiers ($MFT), qui sont essentiels au bon fonctionnement du disque. Cette action rend les données inaccessibles et empêche leur récupération, même avec des outils spécialisés.

Des tactiques récurrentes, un objectif clair

Les techniques employées sont similaires à celles observées dans des attaques informatiques précédentes menées par la Russie contre l’Ukraine. L’objectif semble constant : perturber les activités essentielles du pays en sabotant ses systèmes informatiques critiques.

Le recours à un outil d’administration authentique est particulièrement redoutable : il permet de déployer le malware avec efficacité tout en limitant les alertes de sécurité. Cette approche montre une maîtrise approfondie de l’environnement visé, rendant la détection préventive très difficile.

Comment réduire le risque face aux wipers ?

Pour les responsables de la sécurité informatique, plusieurs mesures sont prioritaires pour tirer les enseignements de ces tactiques d’attaque. Tout d’abord, les outils d’administration à distance doivent être sécurisés : accès restreints, authentification forte (comme l’authentification à deux facteurs) et surveillance des journaux d’activité.

Ensuite, la mise en place de sauvegardes régulières, stockées hors ligne, est indispensable. Les malwares de type « wiper » s’attaquent généralement à tous les supports accessibles, y compris les disques réseau. Il est donc crucial que certaines copies de sauvegarde ne soient pas connectées en permanence au réseau.

Enfin, des outils de surveillance du comportement des postes (appelés EDR) peuvent repérer des signes d’attaque : exécution simultanée de multiples processus, accès massifs à différents volumes ou modifications suspectes des fichiers système.

Les experts de Cisco Talos ont publié une liste d’indicateurs techniques (appelés IOCs) permettant de détecter PathWiper. Leur intégration rapide dans les outils de détection est essentielle pour réagir efficacement et prévenir des dommages importants aux infrastructures critiques.

Pour en savoir plus

Des acteurs malveillants liés à la Russie ciblent l’Ukraine avec le programme d’effacement PathWiper

Un acteur malveillant lié à la Russie a ciblé une infrastructure critique en Ukraine avec un nouveau malware destructeur baptisé PathWiper. Un acteur malveillant lié à la Russie a ciblé les infrastructures critiques ukrainiennes avec un nouveau programme d’effacement de données nommé PathWiper. Cisco Talos…

Lire la suite sur Security Affairs
Des acteurs malveillants liés à la Russie ciblent l'Ukraine avec le programme d'effacement PathWiper

Le nouveau malware PathWiper, capable d’effacer les données, frappe une infrastructure critique en Ukraine.

Un nouveau logiciel malveillant d’effacement de données appelé « PathWiper » est utilisé dans des attaques ciblées contre des infrastructures critiques en Ukraine, visant à perturber les opérations dans le pays. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Le nouveau malware PathWiper, capable d'effacer les données, frappe une infrastructure critique en Ukraine.

(Re)découvrez également:

FrostyGoop : Un nouveau malware qui a éteint les chauffages de 600 immeubles en Ukraine

En janvier dernier, une cyberattaque liée à la Russie a utilisé le malware FrostyGoop pour couper le chauffage de 600 immeubles à Lviv, rappelant les vulnérabilités industrielles critiques.

Lire la suite sur dcod.ch
ukraine cyber attack disrupted russian atm banking

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

🤔À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre L'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

🤔Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏