São Paulo, Brasil – A ESET, empresa líder em detecção proativa de ameaças, alerta sobre um novo malware destrutivo destinado a apagar dados, que ataca a Ucrânia e é atribuído ao grupo APT Sandworm.
Apelidado de SwiftSlicer, o malware foi detectado na rede de uma organização alvo deste grupo. Ela foi implementada por meio da Política de Grupo, também chamada de Diretiva de Grupo, sugerindo que os invasores haviam assumido o controle do ambiente do Active Directory da vítima.
Alguns dos wipers detectados pela ESET na Ucrânia no início da invasão da Rússia (HermeticWiper e CaddyWiper) também foram, em alguns casos, implantados desta maneira. Este último foi detectado na rede da agência de notícias nacional ucraniana, Ukrinform.
(Notificação realizada pela ESET Research)
Em relação ao método de destruição do SwiftSlicer, os pesquisadores da ESET afirmam: "Uma vez executado, exclui as cópias de sombra (VSS), substitui recursivamente os arquivos localizados em %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e outras unidades que não são do sistema e, em seguida, reinicia o computador. Para substituir, ele usa um bloco de 4096 bytes de comprimento preenchido com bytes gerados aleatoriamente".
Dois meses atrás, a ESET detectou uma onda de ataques de ransomware RansomBoggs que também estavam ligados ao grupo Sandworm. As campanhas foram apenas algumas das mais recentes adições à lista de ataques prejudiciais que o grupo realizou contra a Ucrânia na última década. A história da Sandworm também inclui uma série de ataques (BlackEnergy, GreyEnergy e a primeira versão do Industroyer) visando fornecedores de energia. Um ataque do Industroyer2 foi barrado com a ajuda de pesquisadores da ESET em abril do ano passado.
Para saber mais sobre segurança informática, visite o portal de notícias ESET.
Por outro lado, a ESET convida você a conhecer o Conexão Segura, seu podcast para saber o que está acontecendo no mundo da cibersegurança. Para ouvi-lo, acesse.