Investigadores de ESET han descubierto un nuevo malware del tipo wiper utilizado en ataques contra objetivos en Ucrania que son atribuidos al grupo de APT Sandworm.
Apodado SwiftSlicer, este malware destructivo fue detectado el 25 de enero en la red de una organización apuntada por este grupo. Se implementó a través de Política de Grupo, también llamadas Directiva de grupo, lo que sugiere que los atacantes habían tomado el control del entorno de Active Directory de la víctima.
Algunos de los wipers detectados por ESET en Ucrania al principio de la invasión de Rusia (HermeticWiper y CaddyWiper) también fueron, en algunos casos, implantados de la misma manera. Este último fue detectado por última vez en la red de la agencia nacional de noticias ucraniana Ukrinform hace apenas unos días.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
Los productos de ESET detectan SwiftSlicer como WinGo/KillFiles.C. El malware se escribió en Go, un lenguaje de programación multiplataforma muy versátil.
En lo que refiere al método de destrucción de SwiftSlicer, los investigadores de ESET dijeron lo siguiente: “Una vez ejecutado borra las shadow copies, sobrescribe de forma recursiva los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades que no son del sistema y luego reinicia la computadora. Para sobrescribir, utiliza un bloque de 4096 bytes de longitud lleno de bytes generados aleatoriamente”.
Dos meses antes, ESET detectó una ola de ataques del ransomware RansomBoggs en el país devastado por la guerra que también estaban vinculados al grupo Sandworm. Las campañas fueron solo una de las últimas incorporaciones a la larga lista de ataques dañinos que el grupo ha llevado a cabo contra Ucrania durante la última década. El historial de Sandworm también incluye una serie de ataques (BlackEnergy, GreyEnergy y la primera versión de Industroyer) dirigidos a los proveedores de energía. Un ataque de Industroyer2 fue frustrado con la ayuda de los investigadores de ESET en abril del año pasado.
Lecturas relacionadas:
El papel de la ciberseguridad en el conflicto con Ucrania (Podcast)
¿Es descabellado pensar en un escenario de disuasión cibernética?
IsaacWiper y HermeticWizard: un nuevo wiper y worm utilizados en ciberataques a Ucrania