SwiftSlicer

Ukraina har nylig blitt mål for et nytt cyberangrep fra Russland, som involverte bruk av en ukjent datavisker kalt SwiftSlicer, som er skrevet på Golang. Angrepet antas å ha blitt administrert av Sandworm , en statsstøttet hackergruppe som viser bånd til militærenhet 74455 i GRU (Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation). Detaljer om den truende kampanjen og SwiftSlicer-trusselen ble utgitt av cybersikkerhetsforskere.

De truende egenskapene til SwiftSlicer

Den skadelige inntrengningen som implementerte SwiftSlicer ble oppdaget 25. januar 2023. For å oppnå målene sine, utnyttet nettkriminelle Active Directory Group Policy. Når SwiftSlicer er utført, vil dens korrupte kode slette alle Shadow Volume Copies av filer og rekursivt overskrive filer som ligger i %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS og andre ikke-systemstasjoner som finnes på de brutte enhetene. De målrettede filene blir ødelagt ved å bli overskrevet med tilfeldig genererte bytesekvenser på 4096 byte lange. Etter at denne prosessen var fullført, ville de infiserte enhetene starte på nytt.

Sandwork-hackerne fortsetter å målrette mot Ukraina-organisasjoner

Det russiske motstandskollektivet, Sandworm, har blitt koblet til bruken av visker-malware-varianter i angrep designet for å forårsake forstyrrelser og ødeleggelser i Ukraina. Denne gruppen, også kjent som BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots og Voodoo Bear, har vært aktiv siden 2007 og er ansvarlig for en rekke sofistikerte cyberkampanjer rettet mot organisasjoner over hele verden. Eksempler på deres tilpassede verktøy inkluderer BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel og Cyclops Blink .

Bare i 2022 har de lansert WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige og RansomBoggs mot kritisk infrastruktur i Ukraina. Dette sammenfaller med Russlands militære invasjon av landet. Computer Emergency Response Team of Ukraine (CERT-UA) koblet nylig Sandworm til et forsøk på cyberangrep på Ukrinform – det nasjonale nyhetsbyrået – som fant sted senest 7. desember 2022. Fem forskjellige verktøy for datasletting av skadelig programvare ble brukt i dette angrepet: CaddyWiper ; ZeroWipe; Sdelete; AwfulShred og BidSwipe - rettet mot FreeBSD, Windows og Linux-enheter.