SwiftSlicer

Ukraine er for nylig blevet ramt af et nyt cyberangreb fra Rusland, som involverede brugen af en ukendt datavisker kaldet SwiftSlicer, som er skrevet på Golang. Angrebet menes at være blevet styret af Sandworm , en statssponsoreret hackergruppe, der viser forbindelser til militærenhed 74455 i GRU (Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation). Detaljer om den truende kampagne og SwiftSlicer-truslen blev frigivet af cybersikkerhedsforskere.

SwiftSlicers truende egenskaber

Den skadelige indtrængen, der implementerede SwiftSlicer, blev opdaget den 25. januar 2023. For at udføre deres mål udnyttede cyberkriminelle Active Directory-gruppepolitikken. Når SwiftSlicer er udført, vil dens korrupte kode slette alle Shadow Volume Copies af filer og rekursivt overskrive filer placeret i %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS og andre ikke-systemdrev, der findes på de overtrådte enheder. De målrettede filer ødelægges ved at blive overskrevet med tilfældigt genererede bytesekvenser på 4.096 bytes lange. Efter denne proces var fuldført, genstartede de inficerede enheder.

Sandwork-hackerne fortsætter med at målrette mod Ukraines organisationer

Det russiske modstandskollektiv, Sandworm, er blevet sat i forbindelse med brugen af wiper malware-varianter i angreb designet til at forårsage forstyrrelser og ødelæggelser i Ukraine. Denne gruppe, også kendt som BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots og Voodoo Bear, har været aktiv siden 2007 og er ansvarlig for en række sofistikerede cyberkampagner rettet mod organisationer over hele verden. Eksempler på deres brugerdefinerede værktøjer omfatter BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel og Cyclops Blink .

Alene i 2022 har de lanceret WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige og RansomBoggs mod kritisk infrastruktur i Ukraine. Dette falder sammen med Ruslands militære invasion af landet. Ukraines Computer Emergency Response Team (CERT-UA) knyttede for nylig Sandworm til et forsøg på cyberangreb på Ukrinform - det nationale nyhedsbureau - som fandt sted senest den 7. december 2022. Fem forskellige datasletningsværktøjer blev brugt i dette angreb: CaddyWiper ; ZeroWipe; Sdelete; AwfulShred og BidSwipe - rettet mod FreeBSD, Windows og Linux-enheder.