SwiftSlicer

Недавно Украина стала мишенью новой кибератаки со стороны России, в ходе которой использовался неизвестный очиститель данных под названием SwiftSlicer, написанный на языке Golang. Предполагается, что атака была организована спонсируемой государством хакерской группой Sandworm , которая имеет связи с воинской частью 74455 ГРУ (Главное разведывательное управление Генерального штаба Вооруженных Сил Российской Федерации). Подробности об угрожающей кампании и угрозе SwiftSlicer обнародовали исследователи кибербезопасности.

Угрожающие возможности SwiftSlicer

Вредоносное вторжение с развертыванием SwiftSlicer было обнаружено 25 января 2023 года. Для достижения своих целей киберпреступники использовали групповую политику Active Directory. После запуска SwiftSlicer его поврежденный код удалит все копии файлов теневого тома и рекурсивно перезапишет файлы, расположенные в %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS и других несистемных дисках, обнаруженных на взломанных устройствах. Целевые файлы уничтожаются путем перезаписи случайно сгенерированными последовательностями байтов длиной 4096 байтов. После завершения этого процесса зараженные устройства перезагружались.

Хакеры Sandwork продолжают атаковать украинские организации

Российский враждебный коллектив Sandworm был связан с использованием вариантов вредоносного ПО Wiper в атаках, направленных на разрушение и разрушение в Украине. Эта группа, также известная как BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots и Voodoo Bear, действует с 2007 года и отвечает за ряд изощренных киберкампаний, нацеленных на организации по всему миру. Примеры их пользовательских инструментов включают BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel и Cyclops Blink .

Только в 2022 году они запустили WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige и RansomBoggs против критической инфраструктуры в Украине. Это совпадает с военным вторжением России в страну. Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) недавно связала Sandworm с попыткой кибератаки на Укринформ, национальное информационное агентство, которая произошла не позднее 7 декабря 2022 года. эта атака: CaddyWiper ; ZeroWipe; Удалить; AwfulShred и BidSwipe — нацелены на устройства FreeBSD, Windows и Linux.