### PathWiper: Nuevo Malware de Borrado de Datos Dirigido Contra Infraestructuras Críticas en Ucrania

#### Introducción

En el contexto de la guerra híbrida que se libra en Ucrania, la aparición de nuevas variantes de malware destructivo se ha convertido en una constante amenaza para la seguridad de las infraestructuras críticas. En las últimas semanas, analistas de ciberseguridad han detectado el despliegue de un nuevo data wiper denominado **PathWiper**, específicamente diseñado para atacar y deshabilitar sistemas esenciales en el país. Este artículo proporciona un análisis exhaustivo y técnico del incidente, sus vectores de ataque, y su impacto, así como recomendaciones prácticas para los equipos de seguridad.

#### Contexto del Incidente

Desde el inicio del conflicto ruso-ucraniano en 2022, agencias gubernamentales y empresas privadas han sido blanco de sofisticadas campañas de ciberataques, muchas de ellas asociadas a grupos APT (Amenaza Persistente Avanzada) atribuidos a intereses estatales. El malware de tipo wiper, diseñado para eliminar datos de manera irreversible, ha sido empleado en múltiples ocasiones como arma para la disrupción operativa. Ejemplos previos como **HermeticWiper**, **CaddyWiper** o **WhisperGate** han causado daños significativos a redes gubernamentales y de infraestructuras críticas. PathWiper representa la última iteración de esta tendencia, con capacidades mejoradas de evasión y persistencia.

#### Detalles Técnicos

**Identificación y CVE:**
Hasta el momento, PathWiper no dispone de un identificador CVE específico, ya que se considera una amenaza emergente y personalizada. Sin embargo, explota vulnerabilidades previamente conocidas en servicios Windows SMB (CVE-2020-0796) y utiliza credenciales comprometidas para el movimiento lateral.

**Vectores de Ataque:**
El acceso inicial se realiza mediante spear-phishing dirigido a empleados clave, adjuntando documentos maliciosos que explotan macros de Office o vulnerabilidades de ejecución remota (por ejemplo, CVE-2021-40444). Una vez dentro, el malware descarga módulos adicionales desde servidores de comando y control (C2) alojados fuera de Ucrania.

**Técnicas, Tácticas y Procedimientos (TTP) – MITRE ATT&CK:**
– **Initial Access (TA0001):** Phishing y explotación de vulnerabilidades en servicios expuestos.
– **Execution (TA0002):** Uso de scripts PowerShell y binarios legítimos de Windows (LOLbins).
– **Lateral Movement (TA0008):** Robo de credenciales y uso de PsExec y SMB.
– **Impact (TA0040):** Borrado masivo de particiones y sobrescritura de registros MBR y GPT.

**Indicadores de Compromiso (IoC):**
– Hashes SHA256 de ejecutables detectados
– Nombres de archivos: `pathwiper.exe`, `cleanup.bin`
– IPs de C2 asociadas a infraestructura alquilada en Rusia y Bielorrusia
– Entradas en Event Logs relacionadas con sobrescritura de volumen

**Herramientas y Frameworks:**
Se ha observado el uso de variantes personalizadas de **Metasploit** para el acceso inicial y de **Cobalt Strike** para el establecimiento de persistencia y control remoto. PathWiper implementa rutinas de anti-forense para evadir EDR y SIEM tradicionales.

#### Impacto y Riesgos

El despliegue de PathWiper ha provocado la interrupción total de operaciones en al menos tres instalaciones eléctricas y dos empresas de telecomunicaciones, según fuentes de CERT-UA. Los primeros análisis indican que más del 60% de los endpoints infectados quedaron inutilizados tras el ataque, con una media de recuperación superior a 96 horas.
El impacto económico estimado supera los 8 millones de euros en pérdidas directas e indirectas. Además, la destrucción de registros operativos y sistemas SCADA plantea riesgos de seguridad física y continuidad de negocio. Las implicaciones legales incluyen potenciales sanciones bajo el **Reglamento General de Protección de Datos (GDPR)** europeo, especialmente en operadores transnacionales.

#### Medidas de Mitigación y Recomendaciones

– **Segmentación de Red:** Limitar el movimiento lateral segmentando entornos OT y IT.
– **Parches Urgentes:** Aplicar actualizaciones de seguridad en servicios SMB, RDP y Office.
– **Hardening de Credenciales:** Uso de MFA y rotación frecuente de contraseñas administrativas.
– **Monitorización de Logs:** Implementar detección avanzada de actividad anómala en logs de eventos y Sysmon.
– **Backups Offline:** Mantener copias de seguridad fuera de línea y testear procedimientos de recuperación.
– **Simulacros de Incidente:** Realizar ejercicios de respuesta ante wipers con escenarios realistas.

#### Opinión de Expertos

Según Oleksandr Zhylenko, analista senior de amenazas en ESET, “PathWiper demuestra una evolución en las capacidades de destrucción y evasión de los wipers empleados en conflictos híbridos. Su capacidad para inutilizar infraestructuras críticas en cuestión de minutos subraya la necesidad de estrategias de defensa en profundidad y respuesta ágil”.

Por su parte, expertos de Mandiant añaden que “la sofisticación de los TTP empleados y la integración de herramientas post-explotación de uso común dificultan enormemente la detección temprana en entornos grandes y heterogéneos”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente las que operan infraestructuras críticas o suministradores de servicios esenciales, este tipo de amenazas exige un replanteamiento de la gestión de riesgos y la resiliencia operativa. La integración de frameworks como **NIS2** y la adopción de arquitecturas Zero Trust se perfilan como medidas obligatorias en el contexto europeo.
Para usuarios finales, el riesgo directo es limitado, pero podrían verse afectados por interrupciones en servicios básicos o filtraciones de datos personales.

#### Conclusiones

PathWiper representa una nueva generación de malware destructivo diseñado para maximizar el daño operativo y dificultar la recuperación. Su despliegue en Ucrania anticipa tendencias que podrían replicarse en otros escenarios geopolíticos. La colaboración entre CERTs, proveedores de seguridad y legisladores resulta clave para contrarrestar este tipo de amenazas en tiempo real. La preparación, detección proactiva y la formación continua son hoy más esenciales que nunca.

(Fuente: www.bleepingcomputer.com)