En una palabra: Los investigadores de seguridad de ESET identificaron un tipo específico de malware llamado SwiftSlicer implementado en ataques recientes contra objetivos ucranianos. SwiftSlicer apunta a archivos críticos del sistema operativo Home windows y bases de datos de Lively Listing (AD). Según los hallazgos del equipo, el malware puede destruir los recursos del sistema operativo y paralizar dominios completos de Home windows.
Los investigadores identificado el malware SwiftSlicer implementado durante un ataque cibernético dirigido a puntos de venta de tecnología ucranianos. El software program malicioso se escribió usando un lenguaje multiplataforma llamado Golang, más conocido como Go, y usa un Lively Listing (AD) Política de grupo vector de ataque
#ROTURA el 25 de enero #ESETInvestigación descubrió un nuevo ciberataque en 🇺🇦 Ucrania. Los atacantes desplegaron un nuevo limpiaparabrisas que llamamos #SwiftSlicer mediante la directiva de grupo de Lively Listing. Él #SwiftSlicer limpiaparabrisas está escrito en el lenguaje de programación Go. Atribuimos este ataque a #gusano de area. 1/3 pic.twitter.com/pMij9lpU5J
— Investigación de ESET (@ESETresearch) 27 de enero de 2023
El anuncio señala que el malware identificado como WinGo/Killfiles.C. En la ejecución, SwiftSlicer elimina las instantáneas y sobrescribe los archivos de forma recursiva, luego reinicia la computadora. Sobrescribe los datos utilizando bloques de 4.096 bytes de longitud compuestos por bytes generados aleatoriamente. Los archivos sobrescritos normalmente se encuentran en %CSIDL_SYSTEMpercentdrivers, %CSIDL_SYSTEM_DRIVEpercentWindowsNTDS y varias otras unidades que no son del sistema.
Los analistas atribuyeron el malware estilo limpiaparabrisas al grupo de piratería Sandworm, que sirve a la Dirección Principal de Inteligencia (GRU) del Estado Mayor Normal de Rusia y al Centro Principal de Tecnologías Especiales (GTsST). El último ataque recuerda al reciente Limpiaparabrisas hermético y limpiaparabrisas brotes desplegados durante la invasión de Rusia.
Los investigadores notaron que los piratas informáticos infectaron los objetivos en los tres ataques de limpiaparabrisas a través del mismo vector basado en AD. Las similitudes en los métodos de implementación llevan a ESET a creer que los actores de Sandworm pueden haber tomado el management de los entornos de Lively Listing de su objetivo antes de iniciar el ataque.
Decir que Sandworm ha estado ocupado desde el conflicto de Ucrania sería quedarse corto. El Equipo Ucraniano de Respuesta a Emergencias Informáticas (CERT-UA) recientemente descubierto otra combinación de varios paquetes de malware de eliminación de datos desplegados en las redes de la agencia de noticias Ukrinform. Los scripts de malware se dirigieron a los sistemas Home windows, Linux y FreeBSD y los infectaron con múltiples cargas útiles de malware, incluidos CaddyWiper, ZeroWipe, SDelete, AwfulShred y BidSwipe.
ACTUALIZACIÓN: UAC-0082 (sospechoso #gusano de area) para apuntar a Ukrinform usando 5 variantes de software program destructivo: CaddyWiper, ZeroWipe, SDelete, AwfulShred, BidSwipe.
Detalles: https://t.co/vFIiRvXm0u (Únicamente UA)
— CERT-UA (@_CERT_UA) 27 de enero de 2023
Según CERT-UA, los ataques solo tuvieron un éxito parcial. Uno de los paquetes de malware enumerados por Sandworm, CaddyWiper, también se descubrió en un ataque fallido dirigido a uno de los proveedores de energía más grandes de Ucrania en abril de 2022. Los investigadores de ESET ayudaron durante ese ataque trabajando con CERT-UA para remediar y proteger la purple.
