SwiftSlicer

Ukrajina se nedávno stala terčem nového kybernetického útoku z Ruska, který zahrnoval použití neznámého stěrače dat s názvem SwiftSlicer, který je napsán v Golangu. Předpokládá se, že útok řídil Sandworm , státem podporovaná hackerská skupina, která vykazuje vazby na vojenskou jednotku 74455 GRU (Hlavní zpravodajské ředitelství Generálního štábu Ozbrojených sil Ruské federace). Podrobnosti o hrozivé kampani a hrozbě SwiftSlicer zveřejnili výzkumníci kybernetické bezpečnosti.

Hrozivé schopnosti SwiftSlicer

Škodlivé narušení nasazující SwiftSlicer bylo detekováno 25. ledna 2023. Ke splnění svých cílů využili kyberzločinci zásady skupiny Active Directory. Jakmile je SwiftSlicer spuštěn, jeho poškozený kód odstraní všechny stínové svazkové kopie souborů a rekurzivně přepíše soubory umístěné v %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS a dalších nesystémových jednotkách nalezených na narušených zařízeních. Cílené soubory jsou zničeny přepsáním náhodně generovanými sekvencemi bajtů o délce 4 096 bajtů. Po dokončení tohoto procesu by se infikovaná zařízení restartovala.

Sandwork Hackeři se nadále zaměřují na ukrajinské organizace

Ruský nepřátelský kolektiv Sandworm je spojován s používáním variant malwaru stěračů při útocích, které mají způsobit narušení a zničení na Ukrajině. Tato skupina, známá také jako BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots a Voodoo Bear, je aktivní od roku 2007 a je zodpovědná za řadu sofistikovaných kybernetických kampaní zaměřených na organizace po celém světě. Příklady jejich vlastních nástrojů zahrnují BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel a Cyclops Blink .

Jen v roce 2022 spustili WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige a RansomBoggs proti kritické infrastruktuře na Ukrajině. To se shoduje s ruskou vojenskou invazí do země. Ukrajinský tým Computer Emergency Response Team (CERT-UA) nedávno spojil Sandworm s pokusem o kybernetický útok na Ukrinform – národní tiskovou agenturu – ke kterému došlo nejpozději 7. prosince 2022. Bylo použito pět různých malwarových nástrojů pro vymazávání dat. tento útok: CaddyWiper ; ZeroWipe; SDelete; AwfulShred a BidSwipe – cílení na zařízení FreeBSD, Windows a Linux.