Ερευνητές εντοπίζουν νέο κακόβουλο λογισμικό που διαγράφει δεδομένα, σε κυβερνοεπίθεση κατά της Ουκρανίας

Ερευνητές εντόπισαν το κακόβουλο λογισμικό SwiftSlicer που αναπτύχθηκε κατά τη διάρκεια μιας κυβερνοεπίθεσης που στόχευε σε καταστήματα τεχνολογίας της Ουκρανίας. Το λογισμικό κακόβουλου λογισμικού γράφτηκε χρησιμοποιώντας μια γλώσσα πολλαπλών πλατφορμών που ονομάζεται Golang, πιο γνωστή ως Go, και χρησιμοποιεί επίθεση πολιτικής ομάδας Active Directory (AD).

Η ανακοίνωση σημειώνει ότι το κακόβουλο λογισμικό που προσδιορίζεται ως WinGo/Killfiles.C. Κατά την εκτέλεση, το SwiftSlicer διαγράφει σκιώδη αντίγραφα και αντικαθιστά αναδρομικά τα αρχεία και, στη συνέχεια, επανεκκινεί τον υπολογιστή. Αντικαθιστά τα δεδομένα χρησιμοποιώντας μπλοκ μήκους 4.096 byte που αποτελούνται από τυχαία δημιουργημένα byte. Τα αρχεία που έχουν αντικατασταθεί βρίσκονται συνήθως στα %CSIDL_SYSTEM%\drivers, στο %CSIDL_SYSTEM_DRIVE%\Windows\NTDS και σε πολλές άλλες θέσεις, εκτός συστήματος.

Οι αναλυτές απέδωσαν το κακόβουλο λογισμικό τύπου wiper στην ομάδα hacking Sandworm, η οποία εξυπηρετεί την Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU) και το Κύριο Κέντρο Ειδικών Τεχνολογιών (GTsST). Η τελευταία επίθεση θυμίζει τις πρόσφατες επιθέσεις με τα HermeticWiper και CaddyWiper που αναπτύχθηκαν κατά τη διάρκεια της εισβολής της Ρωσίας.

Οι ερευνητές παρατήρησαν ότι οι χάκερ μόλυναν τους στόχους και στις τρεις επιθέσεις μέσω του ίδιου φορέα που βασίζεται σε Active Directory. Οι ομοιότητες στις μεθόδους ανάπτυξης κάνουν την ESET να πιστεύει ότι η ομάδα Sandworm μπορεί να είχε πάρει τον έλεγχο των περιβαλλόντων Active Directory του στόχου τους πριν ξεκινήσει η επίθεση.

Το να πούμε ότι η ομάδα Sandworm ήταν απασχολημένη από τη σύγκρουση στην Ουκρανία θα ήταν υποτιμητικό. Η Ουκρανική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT-UA) ανακάλυψε πρόσφατα έναν άλλο συνδυασμό πολλών πακέτων κακόβουλου λογισμικού που διαγράφουν δεδομένα να έχουν αναπτυχθεί στα δίκτυα του πρακτορείου ειδήσεων Ukrinform. Οι επιθέσεις κακόβουλου λογισμικού στόχευαν συστήματα Windows, Linux και FreeBSD και τα μόλυναν με πολλαπλά φορτία κακόβουλου λογισμικού, συμπεριλαμβανομένων των CaddyWiper, ZeroWipe, SDelete, AwfulShred και BidSwipe.

Σύμφωνα με το CERT-UA, οι επιθέσεις ήταν μόνο εν μέρει επιτυχείς. Ένα από τα πακέτα κακόβουλου λογισμικού της ομάδας Sandworm, το CaddyWiper, ανακαλύφθηκε επίσης σε μια αποτυχημένη επίθεση που είχε στόχο έναν από τους μεγαλύτερους παρόχους ενέργειας της Ουκρανίας τον Απρίλιο του 2022. Ερευνητές της ESET βοήθησαν κατά τη διάρκεια αυτής της επίθεσης συνεργαζόμενοι με το CERT-UA για την αποκατάσταση και την προστασία του δικτύου.