RoarBAT Malware
De acordo com um novo comunicado divulgado pela Equipe de Resposta a Emergências de Computadores do Governo Ucraniano (CERT-UA), o grupo de hackers russo 'Sandworm' é suspeito de ser responsável por um ataque cibernético que teve como alvo as redes estatais ucranianas. O ataque foi realizado explorando contas VPN comprometidas que não eram protegidas com autenticação multifator, permitindo que os hackers obtivessem acesso a sistemas críticos dentro das redes.
Depois que o grupo Sandworm conseguiu entrar nos dispositivos visados, eles usaram a ameaça anteriormente desconhecida RoarBAT para excluir dados em máquinas executando Windows e um script Bash em sistemas operacionais Linux. Isso foi feito usando o WinRar, um popular programa de arquivamento, para limpar os arquivos dos dispositivos afetados. O ataque causou danos significativos à infraestrutura de TI do governo ucraniano, destacando a importância da autenticação multifator como uma medida crítica de segurança para proteção contra tais ataques.
Índice
O RoarBAT Explora o Popular Aplicativo de Arquivo WinRAR para Excluir Dados
Os autores da ameaça Sandworm empregam um script BAT chamado 'RoarBat' no Windows. Este script verifica os discos e diretórios específicos dos dispositivos violados em busca de vários tipos de arquivos, incluindo doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin e date. Qualquer arquivo que corresponda aos critérios definidos é arquivado utilizando a popular e legítima ferramenta de arquivamento WinRAR.
No entanto, os agentes de ameaças utilizam a opção de linha de comando '-df' ao executar o WinRAR, resultando na exclusão automática de arquivos durante o processo de arquivamento. Além disso, os próprios arquivos são removidos após a conclusão, levando efetivamente ao apagamento permanente dos dados no dispositivo da vítima. De acordo com o CERT-UA, o RoarBAT é executado por meio de uma tarefa agendada que é distribuída centralmente para dispositivos de domínio do Windows por meio de políticas de grupo.
Os Hackers tambémVisam os Sistemas Linux
Os cibercriminosos usaram um script Bash em sistemas Linux, que utilizou o utilitário 'dd' para substituir o conteúdo dos tipos de arquivo de destino por zero bytes, apagando efetivamente seus dados. A recuperação de arquivos 'esvaziados' pela ferramenta dd é improvável, se não impossível, devido a essa substituição de dados.
O uso de programas legítimos como o comando 'dd' e o WinRAR sugere que os agentes de ameaças visavam evitar a detecção por software de segurança.
Semelhanças com Ataques Anteriores contra Alvos Ucranianos
De acordo com o CERT-UA, o recente ataque destrutivo realizado por Sandworm tem semelhanças impressionantes com outro ataque ocorrido em janeiro de 2023 na agência de notícias estatal ucraniana 'Ukrinform', que também foi atribuído ao mesmo agente da ameaça. A implementação do plano ameaçador, os endereços IP usados pelos invasores e o emprego de uma versão modificada do RoarBAT apontam para a semelhança entre os dois ataques cibernéticos.
