SwiftSlicer

L'Ucraina è stata recentemente presa di mira da un nuovo attacco informatico dalla Russia, che ha comportato l'uso di un data wiper sconosciuto chiamato SwiftSlicer, che è scritto in Golang. Si ritiene che l'attacco sia stato gestito da Sandworm , un gruppo di hacker sponsorizzato dallo stato che mostra legami con l'Unità militare 74455 del GRU (Direzione principale dell'intelligence dello Stato maggiore delle forze armate della Federazione Russa). I dettagli sulla campagna minacciosa e sulla minaccia SwiftSlicer sono stati rilasciati dai ricercatori di sicurezza informatica.

Le capacità minacciose di SwiftSlicer

L'intrusione dannosa che ha implementato SwiftSlicer è stata rilevata il 25 gennaio 2023. Per raggiungere i propri obiettivi, i criminali informatici hanno sfruttato i Criteri di gruppo di Active Directory. Una volta eseguito SwiftSlicer, il suo codice danneggiato eliminerà tutte le copie shadow del volume dei file e sovrascriverà in modo ricorsivo i file che si trovano in %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e altre unità non di sistema trovate sui dispositivi violati. I file di destinazione vengono distrutti mediante la sovrascrittura con sequenze di byte generate casualmente di 4.096 byte di lunghezza. Al termine di questo processo, i dispositivi infetti si riavvierebbero.

Gli hacker di Sandwork continuano a prendere di mira le organizzazioni ucraine

Il collettivo avversario russo, Sandworm, è stato collegato all'uso di varianti di malware wiper in attacchi progettati per causare interruzioni e distruzione in Ucraina. Questo gruppo, noto anche come BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots e Voodoo Bear, è attivo dal 2007 ed è responsabile di una serie di sofisticate campagne informatiche rivolte a organizzazioni di tutto il mondo. Esempi dei loro strumenti personalizzati includono BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel e Cyclops Blink .

Solo nel 2022, hanno lanciato WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige e RansomBoggs contro le infrastrutture critiche in Ucraina. Ciò coincide con l'invasione militare russa del paese. Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha recentemente collegato Sandworm a un tentativo di attacco informatico a Ukrinform, l'agenzia di stampa nazionale, avvenuto non oltre il 7 dicembre 2022. Cinque diversi strumenti malware per la cancellazione dei dati sono stati utilizzati in questo attacco: CaddyWiper ; ZeroWipe; Elimina; AwfulShred e BidSwipe - destinati a dispositivi FreeBSD, Windows e Linux.