Ucrania ha sido objeto de un nuevo ataque cibernético de Rusia que involucró el despliegue de un limpiador de datos basado en Golang previamente no documentado denominado SwiftSlicer.
ESET atribuyó el ataque a Sandworm, un grupo de estado-nación vinculado a la Unidad Militar 74455 de la Dirección Principal de Inteligencia del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU).
«Una vez ejecutado, elimina las instantáneas, sobrescribe recursivamente los archivos ubicados en %CSIDL_SYSTEM%drivers, %CSIDL_SYSTEM_DRIVE%WindowsNTDS y otras unidades que no son del sistema y luego reinicia la computadora», ESET revelado en una serie de tuits.
Las sobrescrituras se logran mediante el uso de secuencias de bytes generadas aleatoriamente para llenar bloques de 4096 bytes de longitud. La intrusión fue descubierta el 25 de enero de 2023, agregó la empresa de ciberseguridad eslovaca.
Sandworm, también rastreado bajo los apodos BlackEnergy, Electrum, Iridium, Iron Viking, TeleBots y Voodoo Bear, tiene un historial de organizar campañas cibernéticas disruptivas y destructivas dirigidas a organizaciones en todo el mundo desde al menos 2007.
La sofisticación del actor de amenazas se evidencia en sus múltiples cadenas de eliminación distintas, que comprenden una amplia variedad de herramientas personalizadas, como BlackEnergy, GreyEnergy, Industroyer, NotPetya, Exaramely Cíclope Blink.
Solo en 2022, coincidiendo con la invasión militar rusa de Ucrania, Sandworm ha desatado WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2, Prestige y RansomBoggs contra infraestructura crítica en Ucrania.
«Cuando lo piensas, el crecimiento del malware de limpieza durante un conflicto no es una sorpresa», dijo el investigador de Fortinet FortiGuard Labs, Geri Revay. dicho en un informe publicado esta semana. «Difícilmente se puede monetizar. El único caso de uso viable es la destrucción, el sabotaje y la guerra cibernética».
El descubrimiento de SwiftSlicer apunta al uso constante de variantes de malware de limpiaparabrisas por parte del colectivo adversario ruso en ataques diseñados para causar estragos en Ucrania.
El desarrollo también se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) vinculó a Sandworm con un reciente ataque cibernético en gran medida fallido en la agencia nacional de noticias Ukrinform.
La intrusión, que se sospecha que se llevó a cabo a más tardar el 7 de diciembre de 2022, implicó el uso de cinco programas diferentes de borrado de datos, a saber, CaddyWiper, ZeroWipe, SEliminarAwfulShred y BidSwipe dirigidos a sistemas Windows, Linux y FreeBSD.
“Se estableció que la etapa final del ciberataque se inició el 17 de enero de 2023”, CERT-UA dicho en un aviso. «Sin embargo, solo tuvo un éxito parcial, en particular, en relación con varios sistemas de almacenamiento de datos».
Sandworm no es el único grupo que tiene su ojos en Ucrania. Otros actores patrocinados por el estado ruso, como APT29, COLDRIVER y Gamaredon, han apuntado activamente a una variedad de organizaciones ucranianas desde el comienzo de la guerra.