0
0
O Sandworm, um grupo de ameaças persistentes avançadas (APT) vinculado à agência de inteligência militar estrangeira da Rússia, GRU, implantou uma mistura de cinco limpadores diferentes em sistemas pertencentes à agência nacional de notícias da Ucrânia, Ukrinform.
O ataque foi uma das duas ofensivas recentes do Sandworm no país. Os esforços são as mais recentes indicações de que o uso de malware limpador destrutivo está aumentando, como uma arma popular entre os atores russos de ameaças cibernéticas. O objetivo é causar danos irreparáveis às operações das organizações visadas na Ucrânia, como parte dos objetivos militares mais amplos da Rússia no país.
Uma mistura de limpadores
De acordo com a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), o ataque Ukrinform foi apenas parcialmente bem-sucedido e acabou não impactando as operações da agência de notícias. Mas se os limpadores tivessem funcionado como planejado, eles teriam apagado e sobrescrito os dados em todos os sistemas infectados e essencialmente os tornado inúteis.
O CERT-UA relatou o ataque publicamente na última sexta-feira depois que o Ukrinform pediu para investigar o incidente em 17 de janeiro. AwfulShred e BidSwipe. Destes, os três primeiros visavam sistemas Windows, enquanto AwfulShred e BidSwipe visavam sistemas Linux e FreeBSD no Ukrinform. Curiosamente, SDelete é um utilitário de linha de comando legítimo para excluir arquivos do Windows com segurança.
“Descobriu-se que os invasores fizeram uma tentativa malsucedida de interromper a operação regular dos computadores dos usuários usando os programas maliciosos CaddyWiper e ZeroWipe, bem como o utilitário SDelete legítimo”, observou uma versão traduzida do comunicado do CERT-UAs. “No entanto, foi apenas parcialmente bem-sucedido, em particular, para vários sistemas de armazenamento de dados.”
Limpador “SwiftSlicer” vem à tona
Separadamente, a ESET divulgou outro ataque na semana passada, onde o grupo Sandworm implantou um novo limpador chamado SwiftSlicer em um ataque altamente direcionado contra uma organização ucraniana não identificada. No ataque, o grupo Sandworm distribuiu o malware por meio de um objeto de política de grupo, sugerindo que o agente da ameaça já obteve o controle do ambiente Active Directory da vítima, disse a ESET. O CERT-UA descreveu o Sandworm como empregando a mesma tática para tentar implantar o CaddyWiper nos sistemas do Ukrinform.
Uma vez executado, o SwiftSlicer exclui as cópias de sombra, substitui recursivamente os arquivos em unidades do sistema e não do sistema e, em seguida, reinicia o computador, observou a ESET. “Para sobrescrever, ele usa um bloco de comprimento de 4.096 bytes preenchido com byte(s) gerado(s) aleatoriamente”, disse o fornecedor de segurança.
O uso de malware limpador de disco pela Sandworm em suas campanhas contra organizações ucranianas é uma indicação do poder destrutivo que os agentes de ameaças percebem que essas ferramentas possuem. O Sandworm é um conhecido agente de ameaças apoiado pelo estado que se tornou famoso por seus ataques de alto perfil à infraestrutura de energia da Ucrânia, com malware como BlackEnergy , GreyEnergy e, mais recentemente, Industroyer .
O uso desenfreado de limpadores de disco do Sandworm em suas novas campanhas é consistente com um aumento mais amplo no uso de tal malware por agentes de ameaças nas semanas que antecederam a invasão russa da Ucrânia e nos meses desde então.
Em uma sessão durante o Black Hat Middle East & Africa em novembro passado, Max Kersten, um analista de malware da Trellix, divulgou detalhes de uma análise que realizou de limpadores de disco em estado selvagem no primeiro semestre de 2022. O estudo do pesquisador identificou mais de 20 famílias de limpadores que os agentes de ameaças mobilizaram durante o período, muitos deles contra alvos na Ucrânia. Alguns exemplos dos mais prolíficos incluíam limpadores disfarçados de ransomware, como WhisperGate e HermeticWiper , e outros como IsaacWiper, RURansomw e CaddyWiper .
O estudo do pesquisador mostrou que, do ponto de vista da funcionalidade, os limpadores de disco evoluíram pouco desde o vírus “Shamoon” de mais de uma década atrás, que destruiu milhares de sistemas na Saudi Aramco . A principal razão é que os invasores geralmente usam limpadores para sabotar e destruir sistemas e, portanto, têm pouca necessidade de criar furtividade e evasão necessárias para que outros tipos de malware sejam bem-sucedidos.
Até agora, os agentes de ameaças usaram malware de limpeza de disco apenas com relativa parcimônia contra organizações nos EUA, porque suas motivações têm sido tipicamente diferentes daquelas que perseguem alvos na Ucrânia. A maioria dos ataques direcionados a organizações nos EUA tende a ter motivação financeira ou envolve espionagem ou espionagem cibernética. No entanto, isso não significa que os agentes de ameaças não possam lançar o mesmo tipo de ataque destrutivo nos Estados Unidos, se assim o desejarem, alertaram os analistas.
FONTE: DARK READING