0
0
Os pesquisadores da ESET descobriram outro malware de limpeza usado para atingir organizações ucranianas. Apelidado de SwiftSlicer, acredita-se que seja empunhado pelo Sandworm APT .
Simultaneamente, o CERT ucraniano confirmou que os invasores que recentemente visaram interromper a operação da Agência Nacional de Notícias da Ucrânia (Ukrinform) usaram vários malwares limpadores e um utilitário legítimo de linha de comando do Windows para tentar “destruir” máquinas que executam diferentes sistemas operacionais. Eles acreditam que a equipe Sandworm também estava por trás disso.
Wipers visam a Ucrânia
O pesquisador de segurança da Fortinet, Geri Révay, recapitulou recentemente a “explosão” do malware de limpeza do ano passado e fez / reiterou alguns pontos interessantes:
- Ransomware pode servir como um limpador, se os invasores não puderem compartilhar a chave de descriptografia
- Wipers podem se disfarçar de ransomware
- Wipers para ambientes OT são uma coisa
- O crescimento do malware wiper durante um conflito é esperado, já que sua principal função é a destruição, e a maioria dos novos wipers detectados em 2022 foram destinados a organizações ucranianas
No início deste mês, o CERT-UA evitou o ataque cibernético contra o Ukrinform e limitou seu efeito destrutivo a algumas partes da infraestrutura de informações da agência – “um número limitado de sistemas de armazenamento de dados”, de acordo com o Serviço Especial de Comunicações do Estado da Ucrânia.
“Enquanto investigavam o ataque, os especialistas do CERT-UA descobriram que os criminosos haviam feito uma tentativa malsucedida de interromper a operação normal das estações de trabalho dos usuários usando o malware destrutivo CaddyWiper e ZeroWipe, bem como um utilitário SDelete legítimo (que eles planejavam começar por meio de “news .bastão”). Ao mesmo tempo, um objeto de política de grupo (GPO) foi usado para disseminação centralizada de malware. Permitiu a criação de tarefas agendadas correspondentes.”
Os invasores também usaram os limpadores AwfulShred e BidSwipe para atingir máquinas Linux e FreeBSD.
O CERT-UA também mencionou “um elemento do ICS” que foi usado pelos invasores para permitir o acesso remoto aos recursos de informação da agência, mas não forneceu mais informações sobre isso.
O limpador SwiftSlicer
Os pesquisadores da ESET nomearam outro limpador usado em um ataque cibernético na Ucrânia como SwiftSlicer. Eles não nomearam o alvo do ataque, mas compartilharam que ele foi disseminado por meio de objetos de política de grupo (Active Directory).
“Uma vez executado, ele exclui as cópias de sombra, substitui recursivamente os arquivos localizados em %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e outras unidades que não sejam do sistema e, em seguida, reinicia o computador. Para sobrescrever, ele usa um bloco de comprimento de 4.096 bytes preenchido com bytes gerados aleatoriamente”, observaram . Sobrescrever apenas partes desses arquivos é suficiente para dificultar a restauração deles.
O limpador foi escrito em Go – uma linguagem de programação multiplataforma – o que significa que os pesquisadores poderão em breve começar a identificar versões do SwiftSlicer voltadas para diferentes sistemas operacionais.
FONTE: HELPNET SECURITY