A ESET alerta sobre um novo malware destrutivo destinado a apagar dados, que ataca a Ucrânia e é atribuído ao grupo APT Sandworm.
Apelidado de SwiftSlicer, o malware foi detectado na rede de uma organização alvo deste grupo. Ela foi implementada por meio da Política de Grupo, também chamada de Diretiva de Grupo, sugerindo que os invasores haviam assumido o controle do ambiente do Active Directory da vítima.
Alguns dos wipers detectados pela ESET na Ucrânia no início da invasão da Rússia (HermeticWiper e CaddyWiper) também foram, em alguns casos, implantados desta maneira. Este último foi detectado na rede da agência de notícias nacional ucraniana, Ukrinform.
Em relação ao método de destruição do SwiftSlicer, os pesquisadores da ESET afirmam: “Uma vez executado, exclui as cópias de sombra (VSS), substitui recursivamente os arquivos localizados em %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e outras unidades que não são do sistema e, em seguida, reinicia o computador. Para substituir, ele usa um bloco de 4096 bytes de comprimento preenchido com bytes gerados aleatoriamente”.
Dois meses atrás, a ESET detectou uma onda de ataques de ransomware RansomBoggs que também estavam ligados ao grupo Sandworm. As campanhas foram apenas algumas das mais recentes adições à lista de ataques prejudiciais que o grupo realizou contra a Ucrânia na última década. A história da Sandworm também inclui uma série de ataques (BlackEnergy, GreyEnergy e a primeira versão do Industroyer) visando fornecedores de energia. Um ataque do Industroyer2 foi barrado com a ajuda de pesquisadores da ESET em abril do ano passado.
