SwiftSlicer

Ukraine baru-baru ini telah menjadi sasaran serangan siber baru dari Rusia, yang melibatkan penggunaan pengelap data yang tidak diketahui dipanggil SwiftSlicer, yang ditulis dalam Golang. Serangan itu dipercayai telah diuruskan oleh Sandworm , kumpulan penggodam tajaan kerajaan yang menunjukkan hubungan dengan Unit Ketenteraan 74455 GRU (Direktorat Perisikan Utama Kakitangan Am Angkatan Tentera Persekutuan Rusia). Butiran tentang kempen mengancam dan ancaman SwiftSlicer telah dikeluarkan oleh penyelidik keselamatan siber.

Keupayaan Mengancam SwiftSlicer

Pencerobohan berbahaya yang menggunakan SwiftSlicer telah dikesan pada 25 Januari 2023. Untuk melaksanakan matlamat mereka, penjenayah siber mengeksploitasi Dasar Kumpulan Direktori Aktif. Setelah SwiftSlicer dilaksanakan, kodnya yang rosak akan memadamkan semua Salinan Volume Bayangan fail dan menulis ganti secara rekursif fail yang terdapat dalam %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS dan pemacu bukan sistem lain yang terdapat pada peranti yang dilanggar. Fail yang disasarkan dimusnahkan dengan ditimpa dengan jujukan bait yang dijana secara rawak dengan panjang 4,096 bait. Selepas proses ini selesai, peranti yang dijangkiti akan but semula.

Penggodam Sandwork Terus Menyasarkan Organisasi Ukraine

Kolektif musuh Rusia, Sandworm, telah dikaitkan dengan penggunaan varian perisian hasad pengelap dalam serangan yang direka untuk menyebabkan gangguan dan kemusnahan di Ukraine. Kumpulan ini, juga dikenali sebagai BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots dan Voodoo Bear, telah aktif sejak 2007 dan bertanggungjawab untuk pelbagai kempen siber canggih yang menyasarkan organisasi di seluruh dunia. Contoh alatan tersuai mereka termasuk BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel dan Cyclops Blink .

Pada tahun 2022 sahaja, mereka telah melancarkan WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige dan RansomBoggs terhadap infrastruktur kritikal di Ukraine. Ini bertepatan dengan pencerobohan tentera Rusia ke atas negara itu. Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA) baru-baru ini mengaitkan Sandworm dengan percubaan serangan siber terhadap Ukrinform - agensi berita nasional - yang berlaku selewat-lewatnya pada 7 Disember 2022. Lima alat perisian hasad penyapu data yang berbeza telah digunakan dalam serangan ini: CaddyWiper ; ZeroWipe; SDelete; AwfulShred dan BidSwipe - menyasarkan peranti FreeBSD, Windows dan Linux.