Los investigadores de seguridad identificaron un nuevo malware de borrado de datos al que llamaron SwiftSlicer que tiene como objetivo sobrescribir archivos cruciales utilizados por el sistema operativo Home windows.
El nuevo malware se descubrió en un ciberataque reciente contra un objetivo en Ucrania y se ha atribuido a Sandworm, un grupo de piratería que trabaja para la Dirección Principal de Inteligencia (GRU) del Estado Mayor Basic de Rusia como parte de la unidad militar 74455 del Centro Principal de Tecnologías Especiales (GTsST). .
Limpiador de datos basado en Go
Si bien los detalles sobre SwiftSlicer son escasos en este momento, los investigadores de seguridad de la empresa de seguridad cibernética ESET dicen que encontraron el malware destructivo implementado durante un ataque cibernético en Ucrania.
El nombre del objetivo no ha sido publicado, la actividad reciente de Sandworm incluye un ataque de borrado de datos en Ukrinformla agencia nacional de noticias de Ucrania.
Sin embargo, en el ataque que ESET descubrió el 25 de enero, el actor de amenazas lanzó un malware destructivo diferente llamado CaddyWiper, observado anteriormente en otros ataques a objetivos ucranianos (1, 2).
ESET cube que Sandworm lanzó SwiftSlicer utilizando la Política de grupo de Lively Listing, que permite a los administradores de dominio ejecutar scripts y comandos en todos los dispositivos de la purple de Home windows.
Los investigadores de ESET dicen que SwiftSlicer se implementó para eliminar instantáneas y sobrescribir archivos críticos en el directorio del sistema de Home windows, específicamente los controladores y la base de datos de Lively Listing.
La orientación específica de la carpeta %CSIDL_SYSTEM_DRIVEpercentWindowsNTDS indica que el limpiador no solo está diseñado para destruir archivos, sino también para desactivar todos los dominios de Home windows.
fuente: ESET
SwiftSlicer sobrescribe los datos utilizando bloques de 4096 bytes que se llenan con bytes generados aleatoriamente. Después de completar el trabajo de destrucción de datos, el malware reinicia los sistemas, dicen los investigadores de ESET.
Según los investigadores, Sandworm desarrolló SwiftSlicer en el lenguaje de programación Golang, que ha sido adoptado por múltiples actores de amenazas por su versatilidad y puede compilarse para todas las plataformas y {hardware}.
Aunque el malware se agregó a la base de datos de Virus Whole recientemente (enviado el 26 de enero), es detectado actualmente por más de la mitad de los motores antivirus presentes en la plataforma de exploración.
El malware destructivo de Rusia
En un informe de hoy, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) cube que Sandworm también intentó usar cinco utilidades de destrucción de datos en la purple de la agencia de noticias Ukrinform:
- Caddy Wiper (Home windows)
- Zero Wipe (Home windows)
- SDelete (herramienta legítima para Home windows)
- Terrible Shred (Linux)
- BidSwipe (FreeBSD)
La investigación de la agencia reveló que SandWorm distribuyó el malware a las computadoras en la purple usando un Objeto de política de grupo (GPO), un conjunto de reglas que los administradores usan para configurar los sistemas operativos, las aplicaciones y la configuración de los usuarios en un entorno de Lively Listing, el mismo método que también se usó. para ejecutar SwiftSlicer.
