SwiftSlicer

Ucraina a fost recent vizată de un nou atac cibernetic din Rusia, care a implicat utilizarea unui ștergere de date necunoscut numit SwiftSlicer, care este scris în Golang. Se crede că atacul a fost gestionat de Sandworm , un grup de hackeri sponsorizat de stat care prezintă legături cu Unitatea Militară 74455 a GRU (Directia Principală de Informații a Statului Major al Forțelor Armate ale Federației Ruse). Detalii despre campania de amenințare și amenințarea SwiftSlicer au fost publicate de cercetătorii în domeniul securității cibernetice.

Capacitățile amenințătoare ale SwiftSlicer

Intruziunea dăunătoare care a instalat SwiftSlicer a fost detectată pe 25 ianuarie 2023. Pentru a-și îndeplini obiectivele, infractorii cibernetici au exploatat Politica de grup Active Directory. Odată ce SwiftSlicer este executat, codul său corupt va șterge toate Copiile Shadow ale fișierelor și va suprascrie recursiv fișierele aflate în %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS și alte unități non-sistem găsite pe dispozitivele afectate. Fișierele vizate sunt distruse prin suprascriere cu secvențe de octeți generate aleatoriu de 4.096 de octeți lungime. După finalizarea acestui proces, dispozitivele infectate se reporneau.

Hackerii Sandwork continuă să vizeze organizațiile din Ucraina

Colectivul adversar din Rusia, Sandworm, a fost legat de utilizarea variantelor de malware pentru ștergere în atacuri menite să provoace perturbări și distrugeri în Ucraina. Acest grup, cunoscut și sub numele de BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots și Voodoo Bear, este activ din 2007 și este responsabil pentru o serie de campanii cibernetice sofisticate care vizează organizații din întreaga lume. Exemple de instrumente personalizate includ BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel și Cyclops Blink .

Numai în 2022, au lansat WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige și RansomBoggs împotriva infrastructurii critice din Ucraina. Aceasta coincide cu invazia militară a țării de către Rusia. Computer Emergency Response Team of Ukraine (CERT-UA) a legat recent Sandworm de o tentativă de atac cibernetic asupra Ukrinform - agenția națională de știri - care a avut loc până la 7 decembrie 2022. Cinci instrumente diferite de ștergere a datelor au fost utilizate în acest atac: CaddyWiper ; ZeroWipe; Ștergeți; AwfulShred și BidSwipe - vizează dispozitivele FreeBSD, Windows și Linux.