Hacker verwenden SwiftSlicer Wiper, um Windows-Dateien zu zerstören, sagen Sicherheitsforscher

Cybersicherheitsforscher haben eine neue Malware identifiziert, die angeblich auf die Ukraine abzielt. Die Schadsoftware, die von der Cybersicherheitsfirma ESET entdeckt wurde, soll Dateien überschreiben, die von Microsofts Windows-Betriebssystem verwendet werden. Die Sicherheitsforscher machten eine Gruppe namens „Sandworm“ für den Angriff verantwortlich, der wiederholt Cyberangriffe vorgeworfen wurden. Das Hacking-Team hat angeblich einen neuen Wiper namens SwiftSlicer mithilfe der Active Directory-Gruppenrichtlinie eingesetzt. Nach der Ausführung löscht der SwiftSlicer Schattenkopien, überschreibt nacheinander Dateien auf den System- und Nicht-Systemlaufwerken und startet dann den Computer neu.

Die Sicherheitsfirma ESET hat kürzlich einen Cyberangriff entdeckt, der auf die Ukraine abzielte. Der Angriff wurde Sandworm zugeschrieben und fand am 25. Januar statt. Das Team ist angeblich eine der Hacking-Gruppen der russischen Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (auch bekannt als GRU) und wird oft beschuldigt Durchführung von Cyberattacken. Die neue Malware ist in der Programmiersprache Go geschrieben.

„Angreifer haben mithilfe der Active Directory-Gruppenrichtlinie einen neuen Wiper eingesetzt, den wir #SwiftSlicer genannt haben. Der #SwiftSlicer-Wischer ist in der Programmiersprache Go geschrieben. Wir schreiben diesen Angriff #Sandworm zu“, ESET enthüllt über Twitter.

ESET-Forscher erklären dass der SwiftSlicer-Wischer nach der Ausführung Schattenkopien auf dem Windows-System löscht. Die Malware überschreibt dann rekursiv (nacheinander) mehrere Dateien, die sich in Systemtreibern sowie Nicht-Systemlaufwerken befinden, und startet dann den Computer neu. Zum Überschreiben wird laut ESET ein 4096 Byte langer Block verwendet, der mit zufällig generierten Bytes gefüllt ist.

Laut dem ukrainischen Computer Emergency Response Team (CERT-UA) führte Russlands Sandworm fünf Wischangriffe auf die Nationale Nachrichtenagentur der Ukraine – Ukrinform – durch.

In einer Beratung, gibt CERT-UA an, dass es CaddyWiper-, ZeroWipe-, SDelete-, AwfulShred- und BidSwipe-Wischer-Varianten entdeckt hat, die auf den Systemen der Nachrichtenagentur installiert sind. Von diesen zielten die ersten drei auf Windows-Systeme ab, während AwfulShred und BidSwipe auf Linux- und FreeBSD-Systeme bei Ukrinform abzielten. Der Angriff war nur teilweise erfolgreich und beeinträchtigte den Betrieb der Nachrichtenagentur nicht.