Piratas informáticos usan SwiftSlicer Wiper para destruir archivos de Windows, dicen investigadores de seguridad

Los investigadores de ciberseguridad han identificado un nuevo malware que, según se dice, está dirigido a Ucrania. El software malicioso, detectado por la empresa de seguridad cibernética ESET, tiene como objetivo sobrescribir los archivos utilizados por el sistema operativo Windows de Microsoft. Los investigadores de seguridad culparon del ataque a un grupo denominado "Sandworm" que ha sido acusado repetidamente de realizar ataques cibernéticos. El equipo de piratería supuestamente implementó un nuevo limpiador denominado SwiftSlicer utilizando la Política de grupo de Active Directory. Una vez ejecutado, SwiftSlicer elimina las instantáneas, sobrescribe sucesivamente los archivos en el sistema y en las unidades que no son del sistema y luego reinicia la computadora.

La empresa de seguridad ESET descubrió recientemente un ciberataque dirigido a Ucrania. El ataque se ha atribuido a Sandworm y tuvo lugar el 25 de enero. El equipo es supuestamente uno de los grupos de piratería de la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (también conocida como GRU) de Rusia y a menudo se le acusa de realización de ciberataques. El nuevo malware está escrito en el lenguaje de programación Go.

“Los atacantes implementaron un nuevo limpiador que llamamos #SwiftSlicer usando la Política de grupo de Active Directory. El limpiador #SwiftSlicer está escrito en el lenguaje de programación Go. Atribuimos este ataque a #Sandworm”, ESET revelado a través de Twitter.

investigadores de ESET explicar que el limpiador SwiftSlicer elimina las instantáneas en el sistema Windows después de la ejecución. Luego, el malware sobrescribe recursivamente (sucesivamente) varios archivos ubicados en los controladores del sistema, así como en las unidades que no son del sistema, y ​​luego reinicia la computadora. Para sobrescribir, utiliza un bloque de 4096 bytes de longitud lleno de bytes generados aleatoriamente, según ESET.

Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), Sandworm de Rusia desplegó cinco ataques de borrado en la Agencia Nacional de Noticias de Ucrania, Ukrinform.

En un aviso, CERT-UA afirma que descubrió las variantes de limpiaparabrisas CaddyWiper, ZeroWipe, SDelete, AwfulShred y BidSwipe instaladas en los sistemas de la agencia de noticias. De estos, los tres primeros se dirigieron a sistemas Windows, mientras que AwfulShred y BidSwipe se dirigieron a sistemas Linux y FreeBSD en Ukrinform. El ataque solo tuvo un éxito parcial y no afectó las operaciones de la agencia de noticias.