Le malware PathWiper s’attaque aux systèmes critiques ukrainiens en utilisant un outil légitime d’administration pour effacer irrémédiablement les données.
Un outil d’administration détourné pour détruire
En 2025, une nouvelle campagne malveillante cible l’Ukraine. Selon Cisco Talos, un groupe de pirates informatiques lié à l’État russe a exploité un outil légitime de gestion à distance pour propager un malware destructeur, connu sous le nom de PathWiper, au sein d’une organisation d’infrastructure essentielle. Cette attaque rappelle les opérations informatiques menées contre l’Ukraine depuis 2022, impliquant d’autres malwares destructeurs comme HermeticWiper ou IsaacWiper.
Les cybercriminels avaient probablement accès à l’interface centrale de l’outil d’administration, leur permettant d’exécuter des commandes à distance sur les ordinateurs ciblés. Les instructions étaient déployées sous forme de fichiers batch (des scripts automatisés), qui exécutaient un petit programme (VBScript) installant le malware dénommé sha256sum.exe. Cette méthode permettait de passer inaperçu, en imitant les opérations normales du système.
PathWiper a été conçu pour causer des dommages importants, en effaçant les données critiques et en perturbant les opérations des cibles touchées.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
PathWiper : un destructeur systématique de données
PathWiper est conçu pour provoquer des pertes de données irréversibles. Une fois lancé, il recherche tous les supports de stockage connectés à l’ordinateur, y compris les disques internes, les clés USB, les volumes réseau et même ceux qui ont été déconnectés. Pour les localiser, il analyse à la fois le système de fichiers et certaines clés du registre Windows.
Ensuite, il lance un processus indépendant (appelé « thread ») pour chaque support identifié. Ces processus vont réécrire les zones critiques du disque avec des données aléatoires. Cela inclut notamment le secteur de démarrage (MBR) ou la table d’indexation des fichiers ($MFT), qui sont essentiels au bon fonctionnement du disque. Cette action rend les données inaccessibles et empêche leur récupération, même avec des outils spécialisés.
Des tactiques récurrentes, un objectif clair
Les techniques employées sont similaires à celles observées dans des attaques informatiques précédentes menées par la Russie contre l’Ukraine. L’objectif semble constant : perturber les activités essentielles du pays en sabotant ses systèmes informatiques critiques.
Le recours à un outil d’administration authentique est particulièrement redoutable : il permet de déployer le malware avec efficacité tout en limitant les alertes de sécurité. Cette approche montre une maîtrise approfondie de l’environnement visé, rendant la détection préventive très difficile.
Comment réduire le risque face aux wipers ?
Pour les responsables de la sécurité informatique, plusieurs mesures sont prioritaires pour tirer les enseignements de ces tactiques d’attaque. Tout d’abord, les outils d’administration à distance doivent être sécurisés : accès restreints, authentification forte (comme l’authentification à deux facteurs) et surveillance des journaux d’activité.
Ensuite, la mise en place de sauvegardes régulières, stockées hors ligne, est indispensable. Les malwares de type « wiper » s’attaquent généralement à tous les supports accessibles, y compris les disques réseau. Il est donc crucial que certaines copies de sauvegarde ne soient pas connectées en permanence au réseau.
Enfin, des outils de surveillance du comportement des postes (appelés EDR) peuvent repérer des signes d’attaque : exécution simultanée de multiples processus, accès massifs à différents volumes ou modifications suspectes des fichiers système.
Les experts de Cisco Talos ont publié une liste d’indicateurs techniques (appelés IOCs) permettant de détecter PathWiper. Leur intégration rapide dans les outils de détection est essentielle pour réagir efficacement et prévenir des dommages importants aux infrastructures critiques.
Pour en savoir plus
Des acteurs malveillants liés à la Russie ciblent l’Ukraine avec le programme d’effacement PathWiper
Un acteur malveillant lié à la Russie a ciblé une infrastructure critique en Ukraine avec un nouveau malware destructeur baptisé PathWiper. Un acteur malveillant lié à la Russie a ciblé les infrastructures critiques ukrainiennes avec un nouveau programme d’effacement de données nommé PathWiper. Cisco Talos…
Le nouveau malware PathWiper, capable d’effacer les données, frappe une infrastructure critique en Ukraine.
Un nouveau logiciel malveillant d’effacement de données appelé « PathWiper » est utilisé dans des attaques ciblées contre des infrastructures critiques en Ukraine, visant à perturber les opérations dans le pays. […]
(Re)découvrez également:
FrostyGoop : Un nouveau malware qui a éteint les chauffages de 600 immeubles en Ukraine
En janvier dernier, une cyberattaque liée à la Russie a utilisé le malware FrostyGoop pour couper le chauffage de 600 immeubles à Lviv, rappelant les vulnérabilités industrielles critiques.
Cette veille vous a été utile ?
Un café = un mois de serveur. Aidez DCOD à rester gratuit et indépendant.
