A equipe de pesquisa e investigação da ESET descobriu um novo malware do tipo wiper utilizado em ataques contra alvos na Ucrânia que são atribuídos ao grupo APT Sandworm.
Batizado como SwiftSlicer, este malware destrutivo foi detectado em 25 de janeiro na rede de uma organização visada por este grupo. A ameaça foi implantada através da Política de Grupo, também chamada de Diretiva de Grupo, sugerindo que os cibercriminosos tinham assumido o controle do ambiente do Active Directory da vítima.
Alguns dos wipers detectados pela ESET na Ucrânia no início da invasão à Rússia (HermeticWiper e CaddyWiper) também foram, em alguns casos, implantados da mesma forma. O CaddyWiper foi detectado pela última vez na rede da agência nacional de notícias ucraniana Ukrinform há apenas alguns dias.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
Os produtos ESET detectam o SwiftSlicer como WinGo/KillFiles.C. O malware foi escrito em Go, uma linguagem de programação multiplataforma bastante versátil.
Com relação ao método de destruição do SwiftSlicer, a equipe de pesquisa da ESET destaca o seguinte: "uma vez executado, a ameaça apaga as shadow copies, sobrescreve recursivamente arquivos localizados em %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e outras unidades que não são do sistema e, logo em seguida, reinicia o computador. Para sobrescrever, a ameaça usa um bloco de 4096 bytes de comprimento cheio de bytes gerados aleatoriamente".
Dois meses antes, a ESET detectou uma onda de ataques provocados pelo ransomware RansomBoggs na Ucrânia que também estavam ligados ao grupo Sandworm. As campanhas foram apenas um dos últimos acréscimos à longa lista de ataques prejudiciais que o grupo realizou contra a Ucrânia durante a última década. O histórico do Sandworm também inclui uma série de ataques (BlackEnergy, GreyEnergy e a primeira versão do Industroyer) visando fornecedores de energia. Um ataque do Industroyer2 foi interrompido com a ajuda da equipe de pesquisa da ESET em abril do ano passado.
Veja mais: