Hackere, der bruger SwiftSlicer Wiper til at ødelægge Windows-filer, siger sikkerhedsforskere

Cybersikkerhedsforskere har identificeret en ny malware, der siges at være rettet mod Ukraine. Den ondsindede software, opdaget af cybersikkerhedsfirmaet ESET, er beregnet til at overskrive filer, der bruges af Microsofts Windows-operativsystem. Sikkerhedsforskerne gav angrebet skylden på en gruppe kaldet "Sandorm", der gentagne gange er blevet beskyldt for at udføre cyberangreb. Hacking-teamet har angiveligt implementeret en ny wiper kaldet SwiftSlicer ved hjælp af Active Directory Group Policy. Når den er udført, sletter SwiftSlicer skyggekopier, overskriver successivt filer i systemet og ikke-systemdrev og genstarter derefter computeren.

Sikkerhedsfirmaet ESET opdagede for nylig et cyberangreb, der var rettet mod Ukraine. Angrebet er blevet tilskrevet Sandworm og fandt sted den 25. januar. Holdet er angiveligt en af ​​hackergrupperne i Ruslands hoveddirektorat for generalstaben for de væbnede styrker i Den Russiske Føderation (også kendt som GRU) og er ofte anklaget for udføre cyberangreb. Den nye malware er skrevet i programmeringssproget Go.

"Angribere implementerede en ny visker, vi kaldte #SwiftSlicer ved hjælp af Active Directory-gruppepolitik. #SwiftSlicer-viskeren er skrevet i Go-programmeringssproget. Vi tilskriver dette angreb #Sandorm," ESET afslørede via Twitter.

ESET-forskere forklare at SwiftSlicer-viskeren sletter skyggekopier på Windows-systemet efter udførelse. Malwaren overskriver derefter rekursivt (successivt) adskillige filer placeret i systemdrivere såvel som ikke-systemdrev og genstarter derefter computeren. Til overskrivning bruger den 4096 bytes længde blok fyldt med tilfældigt genererede bytes, ifølge ESET.

Ifølge Ukraines Computer Emergency Response Team (CERT-UA) indsatte Ruslands Sandorm fem viskeangreb på Ukraines Nationale Nyhedsbureau – Ukrinform.

I en rådgivning, oplyser CERT-UA, at det opdagede CaddyWiper, ZeroWipe, SDelete, AwfulShred og BidSwipe wiper-varianter installeret på nyhedsbureauets systemer. Af disse målrettede de tre første Windows-systemer, mens AwfulShred og BidSwipe målrettede Linux- og FreeBSD-systemer hos Ukrinform. Angrebet var kun delvist vellykket og påvirkede ikke nyhedsbureauets drift.