SwiftSlicer

Ang Ukraine ay na-target kamakailan ng isang bagong cyber attack mula sa Russia, na kinasasangkutan ng paggamit ng isang hindi kilalang data wiper na tinatawag na SwiftSlicer, na nakasulat sa Golang. Ang pag-atake ay pinaniniwalaan na pinamahalaan ng Sandworm , isang grupo ng hacker na inisponsor ng estado na nagpapakita ng kaugnayan sa Military Unit 74455 ng GRU (Main Intelligence Directorate ng General Staff ng Armed Forces of the Russian Federation). Ang mga detalye tungkol sa nagbabantang kampanya at ang banta ng SwiftSlicer ay inilabas ng mga mananaliksik sa cybersecurity.

Ang Mga Kakayahang Nagbabanta ng SwiftSlicer

Natukoy ang mapaminsalang panghihimasok na nagde-deploy ng SwiftSlicer noong Enero 25, 2023. Upang maisakatuparan ang kanilang mga layunin, sinamantala ng mga cybercriminal ang Patakaran ng Grupo ng Active Directory. Kapag naisakatuparan na ang SwiftSlicer, tatanggalin ng sira na code nito ang lahat ng Shadow Volume Copies ng mga file at paulit-ulit na i-overwrite ang mga file na matatagpuan sa %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS at iba pang non-system drive na makikita sa mga nalabag na device. Ang mga naka-target na file ay sinisira sa pamamagitan ng pag-overwrit sa mga random na nabuong byte na pagkakasunud-sunod na 4,096 byte ang haba. Pagkatapos makumpleto ang prosesong ito, magre-reboot ang mga nahawaang device.

Ang Mga Sandwork Hacker ay Patuloy na Tinatarget ang Mga Organisasyon ng Ukraine

Ang Russian adversarial collective, Sandworm, ay na-link sa paggamit ng mga variant ng wiper malware sa mga pag-atake na idinisenyo upang magdulot ng pagkaantala at pagkawasak sa Ukraine. Ang grupong ito, na kilala rin bilang BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots, at Voodoo Bear, ay naging aktibo mula noong 2007 at responsable para sa isang hanay ng mga sopistikadong cyber campaign na nagta-target sa mga organisasyon sa buong mundo. Kasama sa mga halimbawa ng kanilang mga custom na tool ang BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel at Cyclops Blink .

Noong 2022 lamang, inilunsad nila ang WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige at RansomBoggs laban sa mga kritikal na imprastraktura sa Ukraine. Kasabay ito ng pagsalakay ng militar ng Russia sa bansa. Iniugnay kamakailan ng Computer Emergency Response Team ng Ukraine (CERT-UA) ang Sandworm sa isang tangkang cyber-attack sa Ukrinform - ang pambansang ahensya ng balita - na naganap nang hindi lalampas sa Disyembre 7, 2022. Limang iba't ibang tool sa pagpupunas ng data ang ginamit sa pag-atake na ito: CaddyWiper ; ZeroWipe; SDelete; AwfulShred at BidSwipe - nagta-target sa mga FreeBSD, Windows at Linux na mga device.