SwiftSlicer

Ukraina har nyligen varit måltavla för en ny cyberattack från Ryssland, som involverade användningen av en okänd datatorkare kallad SwiftSlicer, som är skriven på Golang. Attacken tros ha hanterats av Sandworm , en statligt sponsrad hackergrupp som visar band till militärenhet 74455 i GRU (Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation). Detaljer om den hotfulla kampanjen och SwiftSlicer-hotet släpptes av cybersäkerhetsforskare.

SwiftSlicers hotfulla funktioner

Det skadliga intrånget som distribuerade SwiftSlicer upptäcktes den 25 januari 2023. För att uppnå sina mål utnyttjade cyberbrottslingarna Active Directory Group Policy. När SwiftSlicer har körts kommer dess korrupta kod att radera alla Shadow Volume Copies av filer och rekursivt skriva över filer som finns i %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS och andra icke-systemenheter som finns på de brutna enheterna. De riktade filerna förstörs genom att skrivas över med slumpmässigt genererade bytesekvenser på 4 096 byte långa. Efter att denna process slutförts startade de infekterade enheterna om.

Sandwork-hackarna fortsätter att rikta sig mot Ukrainska organisationer

Det ryska motståndarkollektivet, Sandworm, har kopplats till användningen av torkare skadlig programvara i attacker som är utformade för att orsaka störningar och förstörelse i Ukraina. Denna grupp, även känd som BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots och Voodoo Bear, har varit aktiv sedan 2007 och ansvarar för en rad sofistikerade cyberkampanjer som riktar sig till organisationer runt om i världen. Exempel på deras anpassade verktyg inkluderar BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel och Cyclops Blink .

Bara under 2022 har de lanserat WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige och RansomBoggs mot kritisk infrastruktur i Ukraina. Detta sammanfaller med Rysslands militära invasion av landet. Computer Emergency Response Team of Ukraine (CERT-UA) kopplade nyligen Sandworm till ett försök till cyberattack mot Ukrinform – den nationella nyhetsbyrån – som ägde rum senast den 7 december 2022. Fem olika verktyg för att radera skadlig programvara användes i denna attack: CaddyWiper ; ZeroWipe; SDradera; AwfulShred och BidSwipe - riktar sig mot FreeBSD, Windows och Linux-enheter.