Sandworm, afiliado a Rusia, usó otra cepa de malware de limpiaparabrisas denominada NikoWiper como parte de un ataque que tuvo lugar en octubre de 2022 contra una empresa del sector energético en Ucrania.
“El NikoWiper se basa en SEliminaruna utilidad de línea de comandos de Microsoft que se utiliza para eliminar archivos de forma segura”, dijo la empresa de ciberseguridad ESET reveló en su último Informe de actividad de APT compartido con The Hacker News.
La firma eslovaca de ciberseguridad dijo que los ataques coincidieron con ataques con misiles orquestado por las fuerzas armadas rusas dirigido a la infraestructura energética de Ucrania, lo que sugiere superposiciones en los objetivos.
La divulgación se produce pocos días después de que ESET atribuyó a Sandworm a un limpiador de datos basado en Golang denominado SwiftSlicer que se implementó contra una entidad ucraniana no identificada el 25 de enero de 2023.
El grupo de amenazas persistentes avanzadas (APT) vinculado a la agencia de inteligencia militar extranjera GRU de Rusia también estuvo implicado en un ataque parcialmente exitoso contra la agencia de noticias nacional Ukrinform, desplegando hasta cinco limpiaparabrisas diferentes en las máquinas comprometidas.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) identificó las cinco variantes de limpiaparabrisas como CaddyWiper, ZeroWipe, SDelete, AwfulShred y BidSwipe. Los tres primeros de estos sistemas Windows se dirigieron, mientras que AwfulShred y BidSwipe apuntaron a los sistemas Linux y FreeBSD.
El uso de SDelete es notable, ya que sugiere que Sandworm ha estado experimentando con la utilidad como un limpiador en al menos dos instancias diferentes para causar un daño irreparable a las organizaciones objetivo en Ucrania.
Dicho esto, el investigador de malware de ESET, Robert Lipovsky, le dijo a The Hacker News que “NikoWiper es un malware diferente”.
Además de armar SDelete, las campañas recientes de Sandworm también han aprovechado familias de ransomware a medida, incluidos Prestige y RansomBoggs, para bloquear los datos de las víctimas detrás de barreras de cifrado sin ninguna opción para recuperarlos.
Los esfuerzos son el último indicio de que el uso de malware de limpieza destructivo está en aumento y se está adoptando cada vez más como arma cibernética preferida entre los equipos de piratería rusos.
“Los limpiaparabrisas no se han usado mucho porque son armas dirigidas”, dijo Dmitry Bestuzhev de BlackBerry a The Hacker News en un comunicado. “Sandworm ha estado trabajando activamente en el desarrollo de limpiaparabrisas y familias de ransomware utilizadas explícitamente para Ucrania”.
No se trata solo de Sandworm, ya que otros equipos patrocinados por el estado ruso, como APT29, Callisto y Gamaredon, se han involucrado en esfuerzos paralelos para paralizar la infraestructura ucraniana a través de campañas de phishing diseñadas para facilitar el acceso por la puerta trasera y el robo de credenciales.
Según Recorded Future, que rastrea APT29 (también conocido como Nobelium) bajo el nombre de BlueBravo, el APT se ha conectado a una nueva infraestructura comprometida que probablemente se emplee como señuelo para entregar un cargador de malware con nombre en código GraphicalNeutrino.
El cargador, cuya función principal es entregar malware de seguimiento, abusa de la API de Notion para las comunicaciones de comando y control (C2), así como de la función de base de datos de la plataforma para almacenar información de la víctima y organizar cargas útiles para su descarga.
“Cualquier país con un nexo con la crisis de Ucrania, en particular aquellos con relaciones geopolíticas, económicas o militares clave con Rusia o Ucrania, corren un mayor riesgo de ser atacados”, dijo la compañía. dicho en un informe técnico publicado la semana pasada.
El cambio a Notion, una aplicación legítima para tomar notas, subraya el “uso cada vez mayor pero continuo” de APT29 de servicios de software populares como Dropbox, Google Drive y Trello para combinar el tráfico de malware y eludir la detección.
Aunque no se detectó malware de segunda etapa, ESET, que también encontró una muestra del malware en octubre de 2022, teorizó que estaba “dirigido a buscar y ejecutar Cobalt Strike”.
Los hallazgos también le pisan los talones a Rusia. declarando que fue objeto de una “agresión coordinada” en 2022 y que enfrentó “ataques cibernéticos externos sin precedentes” de “agencias de inteligencia, corporaciones transnacionales de TI y hacktivistas”.
A medida que la guerra ruso-ucraniana entra oficialmente en su duodécimo mes, queda por ver cómo evoluciona el conflicto en el ámbito cibernético.
“Durante el año pasado, hemos visto olas de mayor actividad, como en la primavera después de la invasión, en el otoño y meses más tranquilos durante el verano, pero en general ha habido un flujo casi constante de ataques”, dijo Lipovsky. “Entonces, una cosa de la que podemos estar seguros es que veremos más ataques cibernéticos”.