SwiftSlicer

Oekraïne is onlangs het doelwit geweest van een nieuwe cyberaanval vanuit Rusland, waarbij een onbekende gegevenswisser werd gebruikt, SwiftSlicer genaamd, die in het Golang is geschreven. De aanval zou zijn beheerd door Sandworm , een door de staat gesponsorde hackergroep die banden toont met militaire eenheid 74455 van de GRU (Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation). Details over de dreigende campagne en de SwiftSlicer-dreiging zijn vrijgegeven door cybersecurity-onderzoekers.

De bedreigende mogelijkheden van SwiftSlicer

De schadelijke inbraak waarbij SwiftSlicer werd ingezet, werd op 25 januari 2023 gedetecteerd. Om hun doelen te bereiken, maakten de cybercriminelen misbruik van het Active Directory-groepsbeleid. Zodra SwiftSlicer is uitgevoerd, verwijdert de corrupte code alle schaduwvolumekopieën van bestanden en overschrijft recursief bestanden die zich bevinden in %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS en andere niet-systeemstations die op de geschonden apparaten zijn gevonden. De beoogde bestanden worden vernietigd doordat ze worden overschreven met willekeurig gegenereerde bytereeksen van 4.096 bytes lang. Nadat dit proces is voltooid, worden de geïnfecteerde apparaten opnieuw opgestart.

De Sandwork-hackers blijven organisaties in Oekraïne aanvallen

Het Russische vijandige collectief, Sandworm, is in verband gebracht met het gebruik van wiper-malwarevarianten bij aanvallen die bedoeld zijn om verstoring en vernietiging in Oekraïne te veroorzaken. Deze groep, ook wel bekend als BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots en Voodoo Bear, is actief sinds 2007 en is verantwoordelijk voor een reeks geavanceerde cybercampagnes gericht op organisaties over de hele wereld. Voorbeelden van hun aangepaste tools zijn BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel en Cyclops Blink .

Alleen al in 2022 hebben ze WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige en RansomBoggs gelanceerd tegen kritieke infrastructuur in Oekraïne. Dit valt samen met de militaire invasie van het land door Rusland. Het Computer Emergency Response Team van Oekraïne (CERT-UA) bracht Sandworm onlangs in verband met een poging tot cyberaanval op Ukrinform - het nationale persbureau - die uiterlijk op 7 december 2022 plaatsvond. Vijf verschillende malwaretools voor het wissen van gegevens werden gebruikt in deze aanval: CaddyWiper ; NulWipe; SDverwijderen; AwfulShred en BidSwipe - gericht op FreeBSD-, Windows- en Linux-apparaten.