PathWiper – destrukcyjny „game-changer” w arsenale rosyjskich cyberoperacji

Śmiercionośny malware w środowiskach przemysłowych – jak reagować skutecznie

6/7/20253 min read

Wprowadzenie – dlaczego ten wiper jest inny?

6 czerwca 2025 r. Cisco Talos poinformowało o nowym szkodliwym oprogramowaniu nazwanym PathWiper, które skasowało dane w ukraińskiej infrastrukturze krytycznej. Kampania została przypisana rosyjskiemu APT – prawdopodobnie Sandworm lub Seashell Blizzard – i wpisuje się w trwającą od 2022 r. serię cyberataków z użyciem wiperów.

Co czyni PathWipera wyjątkowym?
W przeciwieństwie do wcześniejszych rodzin malware, nie tylko nadpisuje dysk systemowy, ale:

  • identyfikuje wszystkie lokalne i sieciowe woluminy (także te odmontowane),

  • usuwa je z systemu plików,

  • a następnie równolegle niszczy ich metadane NTFS.

Efekt: całkowita, nieodwracalna destrukcja – bez żądania okupu, bez możliwości odzysku bez kopii offline.

Anatomia PathWipera – krok po kroku

Etap 1: Dostęp
Atakujący wykorzystuje legalne narzędzia do zdalnej administracji endpointami. Komendy są uruchamiane jako skrypty BAT/VBS podszywające się pod narzędzia systemowe.

Etap 2: Enumeracja
Malware skanuje wszystkie dostępne dyski, woluminy i zasoby SMB, korzystając z Win32 API oraz WMI.

Etap 3: Przygotowanie
Wysyła do każdego woluminu komendę FSCTL_DISMOUNT_VOLUME, by odłączyć system plików. Operacja jest realizowana przez IRP do MountPointManagera.

Etap 4: Nadpisywanie
Dla każdego zidentyfikowanego woluminu tworzy osobny wątek, który nadpisuje krytyczne struktury NTFS (MBR, $MFT, $LogFile, $Boot, $Bitmap, $TxfLog) losowymi danymi.

Etap 5: Brak możliwości odzysku
Po restarcie system jest niefunkcjonalny. Nie ma ransomware, nie ma żądań – to czysta destrukcja. Odzysk tylko z pełnej kopii zewnętrznej.

PathWiper na tle innych wiperów

  • HermeticWiper (luty 2022): pierwszy duży atak na ukraińskie systemy IT.

  • IsaacWiper, CaddyWiper, DoubleZero, AcidRain (2022–2023): kolejne wersje i mutacje.

  • PathWiper (czerwiec 2025): nowa generacja – nie bazuje na prostym skanowaniu liter dysków, tylko na pełnej inwentaryzacji woluminów.

Nowy trend:
Wipery stają się modularne i łatwe do osadzenia w legalnych narzędziach administracyjnych, co znacznie utrudnia ich wczesne wykrycie.

Ryzyko dla ICS/OT – na co uważać?

Zcentralizowana administracja (Single-pane OT-RMM):
Jeśli jedno konto admina ma dostęp do setek stacji operatorskich (HMI), PathWiper może je wszystkie zniszczyć w kilka sekund.

Łańcuch dostaw:
Podobnie jak AcidRain (atak na modemy Viasat), PathWiper może zostać osadzony w aktualizacjach firmware’u dla urządzeń brzegowych.

Brak śladów finansowych:
To nie ransomware – brak szyfrowania, brak exfiltracji danych, brak żądań. Alerty mogą się nie pojawić aż do całkowitej awarii.

Pięć filarów obrony przed wiperami

1. Segmentacja (redukcja „blast radius”):
Oddziel narzędzia administracyjne od sieci produkcyjnej. W środowisku OT stosuj jump-hosty i zasadę „deny-by-default”.

2. Backup 3-2-1-1:

  • Trzy kopie danych,

  • Na dwóch różnych nośnikach,

  • Jedna kopia off-site,

  • Jedna niezmienna (np. object lock).

3. Detekcja ruchu lateralnego:
Monitoruj:

  • Nietypowe skanowanie dysków i udziałów,

  • Wywołania typu FSCTL_DISMOUNT_VOLUME,

  • Skoki w ruchu SMB.

4. Hardening RMM:

  • MFA na wszystkich konsolach,

  • Allow-listing hashy plików,

  • Osobne konta do masowego deploymentu.

5. Gotowość IR (incident response):

  • Przygotuj scenariusze bare-metal restore,

  • Ćwicz start centrali z „cold standby”,

  • Weryfikuj odzyskiwanie całych systemów OT, nie tylko danych.

CISA dodatkowo rekomenduje:

  • Regularne skany AV/AM,

  • Minimalizację usług na hostach brzegowych,

  • Monitoring ruchu wychodzącego.

Checklista

  • Spisz wszystkie instancje RMM (Remote Monitoring and Management), EDR, orchestratorów – także te rzadko używane.

  • Wdróż reguły YARA/Snort publikowane przez Cisco Talos (PathWiper hash, sekwencja BAT → VBS).

  • Włącz logowanie Object Access > File System w Windows Security Audit.

  • Utwórz „canary share” – udział SMB z fałszywymi danymi, który zarejestruje próbę odmontowania lub zniszczenia MFT.

  • Regularnie ćwicz scenariusze Table-Top – np. 60-minutowe sprinty: „straciliśmy stacje HMI – co robimy?”

Podsumowanie

PathWiper to jasny sygnał, że destrukcyjne malware wciąż jest podstawowym narzędziem cyberwojny. Firmy – zwłaszcza te z obszaru OT/ICS – muszą odejść od myślenia „mamy backup” i przejść na podejście: „stracimy hosty, ale wrócimy w godzinę”.

Wygra ten, kto:

  • Ma pełną widoczność nad narzędziami administracyjnymi,

  • Posiada odporne kopie danych,

  • I regularnie testuje realne scenariusze odzyskiwania.