SwiftSlicer

Ucrania ha sido blanco recientemente de un nuevo ataque cibernético de Rusia, que involucró el uso de un borrador de datos desconocido llamado SwiftSlicer, que está escrito en Golang. Se cree que el ataque fue dirigido por Sandworm , un grupo de piratas informáticos patrocinado por el estado que muestra vínculos con la Unidad Militar 74455 del GRU (Dirección Principal de Inteligencia del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa). Los investigadores de seguridad cibernética dieron a conocer detalles sobre la campaña amenazante y la amenaza SwiftSlicer.

Las capacidades amenazantes de SwiftSlicer

La intrusión dañina que implementó SwiftSlicer se detectó el 25 de enero de 2023. Para llevar a cabo sus objetivos, los ciberdelincuentes explotaron la Política de grupo de Active Directory. Una vez que se ejecuta SwiftSlicer, su código corrupto eliminará todas las instantáneas de volumen de los archivos y sobrescribirá recursivamente los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades que no sean del sistema que se encuentren en los dispositivos violados. Los archivos de destino se destruyen sobrescribiéndolos con secuencias de bytes generadas aleatoriamente de 4.096 bytes de longitud. Una vez completado este proceso, los dispositivos infectados se reiniciarían.

Los piratas informáticos de Sandwork continúan apuntando a las organizaciones de Ucrania

El colectivo adversario ruso, Sandworm, se ha relacionado con el uso de variantes de malware de limpiaparabrisas en ataques diseñados para causar interrupciones y destrucción en Ucrania. Este grupo, también conocido como BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots y Voodoo Bear, ha estado activo desde 2007 y es responsable de una variedad de sofisticadas campañas cibernéticas dirigidas a organizaciones de todo el mundo. Ejemplos de sus herramientas personalizadas incluyen BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel y Cyclops Blink .

Solo en 2022, lanzaron WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige y RansomBoggs contra infraestructura crítica en Ucrania. Esto coincide con la invasión militar rusa del país. El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) vinculó recientemente a Sandworm con un intento de ciberataque contra Ukrinform, la agencia nacional de noticias, que tuvo lugar a más tardar el 7 de diciembre de 2022. Se utilizaron cinco herramientas diferentes de malware para borrar datos en este ataque: CaddyWiper ; limpieza cero; SEliminar; AwfulShred y BidSwipe: dirigidos a dispositivos FreeBSD, Windows y Linux.