Hekerji uporabljajo SwiftSlicer Wiper za uničenje datotek Windows, pravijo varnostni raziskovalci

Raziskovalci kibernetske varnosti so identificirali novo zlonamerno programsko opremo, ki naj bi bila usmerjena proti Ukrajini. Zlonamerna programska oprema, ki jo je opazilo podjetje za kibernetsko varnost ESET, je namenjena prepisovanju datotek, ki jih uporablja Microsoftov operacijski sistem Windows. Varnostni raziskovalci so za napad krivili skupino, imenovano "Sandworm", ki je bila večkrat obtožena izvajanja kibernetskih napadov. Hekerska ekipa je domnevno uvedla nov brisalec, imenovan SwiftSlicer, z uporabo pravilnika skupine Active Directory. Ko se izvede, SwiftSlicer izbriše senčne kopije, zaporedoma prepiše datoteke v sistemskih in nesistemskih pogonih in nato znova zažene računalnik.

Varnostno podjetje ESET je nedavno odkrilo kibernetski napad, katerega tarča je bila Ukrajina. Napad so pripisali Sandwormu in se je zgodil 25. januarja. Ekipa je domnevno ena od hekerskih skupin ruskega glavnega direktorata generalštaba oboroženih sil Ruske federacije (znanega tudi kot GRU) in je pogosto obtožena, da izvajanje kibernetskih napadov. Nova zlonamerna programska oprema je napisana v programskem jeziku Go.

»Napadalci so namestili nov brisalec, ki smo ga poimenovali #SwiftSlicer, z uporabo pravilnika skupine Active Directory. Brisalec #SwiftSlicer je napisan v programskem jeziku Go. Ta napad pripisujemo #Sandworm,” ESET je pokazala, preko Twitterja.

ESET raziskovalci razložiti da brisalec SwiftSlicer po izvedbi izbriše senčne kopije v sistemu Windows. Zlonamerna programska oprema nato rekurzivno (zaporedoma) prepiše več datotek v sistemskih gonilnikih in nesistemskih pogonih ter nato znova zažene računalnik. Za prepisovanje uporablja blok dolžine 4096 bajtov, napolnjen z naključno ustvarjenimi bajti, glede na ESET.

Po podatkih ukrajinske ekipe za odzivanje na računalniške nujne primere (CERT-UA) je ruski Sandworm izvedel pet napadov brisanja na ukrajinsko nacionalno tiskovno agencijo – Ukrinform.

V svetovalnici, CERT-UA navaja, da je odkril različice brisalcev CaddyWiper, ZeroWipe, SDelete, AwfulShred in BidSwipe, nameščene v sistemih tiskovne agencije. Od teh so prvi trije ciljali na sisteme Windows, medtem ko sta AwfulShred in BidSwipe ciljala na sisteme Linux in FreeBSD pri Ukrinformu. Napad je bil le delno uspešen in ni vplival na delovanje tiskovne agencije.