SwiftSlicer

אוקראינה הייתה ממוקדת לאחרונה למתקפת סייבר חדשה מרוסיה, שכללה שימוש במגב נתונים לא ידוע בשם SwiftSlicer, שנכתב בגולאנג. לפי ההערכות, ההתקפה נוהלה על ידי Sandworm , קבוצת האקרים בחסות המדינה שמראה קשרים עם יחידה צבאית 74455 של GRU (מנהלת המודיעין הראשית של המטה הכללי של הכוחות המזוינים של הפדרציה הרוסית). פרטים על הקמפיין המאיים ועל איום SwiftSlicer פורסמו על ידי חוקרי אבטחת סייבר.

היכולות המאיימות של SwiftSlicer

החדירה המזיקה בפריסת SwiftSlicer זוהתה ב-25 בינואר 2023. כדי לבצע את מטרותיהם, פושעי הסייבר ניצלו את המדיניות הקבוצתית של Active Directory. לאחר הפעלת SwiftSlicer, הקוד הפגום שלו ימחק את כל עותקי נפח הצללים של הקבצים ויחליף באופן רקורסיבי קבצים הממוקמים ב-%CSIDL_SYSTEM%\drivers,%CSIDL_SYSTEM_DRIVE%\Windows\NTDS וכוננים אחרים שאינם מערכתיים שנמצאו במכשירים הפורצים. הקבצים הממוקדים מושמדים על ידי החלפתם ברצפי בתים שנוצרו באקראי באורך 4,096 בתים. לאחר השלמת תהליך זה, המכשירים הנגועים יופעלו מחדש.

האקרים מעבודת החול ממשיכים לכוון לארגונים באוקראינה

הקולקטיב היריב הרוסי, Sandworm, נקשר לשימוש בגרסאות תוכנות זדוניות מגב בהתקפות שנועדו לגרום להפרעה והרס באוקראינה. קבוצה זו, הידועה גם בשם BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots, ו-Vodoo Bear, פעילה מאז 2007 ואחראית למגוון קמפיינים מתוחכמים בתחום הסייבר המכוונים לארגונים ברחבי העולם. דוגמאות לכלים המותאמים אישית שלהם כוללים BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel ו- Cyclops Blink .

בשנת 2022 לבדה, הם השיקו את WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige ו-RansomBoggs נגד תשתית קריטית באוקראינה. זה עולה בקנה אחד עם הפלישה הצבאית של רוסיה למדינה. צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) קישר לאחרונה את Sandworm לניסיון מתקפת סייבר על Ukrinform - סוכנות הידיעות הלאומית - שהתרחש לא יאוחר מ-7 בדצמבר 2022. נעשה שימוש בחמישה כלים שונים למחיקת נתונים. ההתקפה הזו: CaddyWiper ; ZeroWipe; SDמחק; AwfulShred ו-BidSwipe - מכוונים למכשירי FreeBSD, Windows ולינוקס.