Pesquisadores de segurança identificaram um novo malware de limpeza de dados chamado SwiftSlicer, que visa substituir arquivos cruciais usados pelo sistema operacional Windows. O malware foi descoberto em um ataque cibernético recente contra um alvo na Ucrânia e foi atribuído ao Sandworm, grupo de hackers que trabalha para Departamento Central de Inteligência (GRU, na sigla em inglês) do Estado-Maior das Forças Armadas da Rússia como parte da unidade militar 74455 do Centro Principal de Tecnologias Especiais (GTsST).
Embora até o momento os detalhes sobre o SwiftSlicer sejam escassos, os pesquisadores de segurança da empresa de segurança cibernética ESET dizem que encontraram o malware destrutivo implantado durante um ataque cibernético na Ucrânia. O nome do alvo não foi publicado; a atividade recente do Sandworm inclui um ataque de limpeza de dados à Ukrinform, a agência nacional de notícias da Ucrânia.
No entanto, no ataque que a ESET descobriu no dia 25 deste mês, o operador da ameaça lançou um malware destrutivo diferente chamado CaddyWiper, observado anteriormente em outros ataques a alvos ucranianos.
A ESET diz que o Sandworm lançou o SwiftSlicer usando a diretiva de grupo do Active Directory, que permite aos administradores de domínio executar scripts e comandos em todos os dispositivos da rede Windows.
Os pesquisadores da ESET dizem que o SwiftSlicer foi implantado para excluir cópias de sombra e sobrescrever arquivos críticos no diretório do Windows, especificamente drivers e o banco de dados do Active Directory.
O direcionamento específico da pasta %CSIDL_SYSTEM_DRIVE%\Windows\NTDS indica que o limpador não se destina apenas a destruir arquivos, mas também a desativar todos os domínios do Windows.
Veja isso
Grupo usa limpador de dados em ataque à cadeia de suprimentos
Novo ransomware usa técnica de limpeza de arquivos
O SwiftSlicer substitui dados usando blocos de 4096 bytes que são preenchidos com bytes gerados aleatoriamente. Depois de concluir o trabalho de destruição de dados, o malware reinicia os sistemas, dizem os pesquisadores da ESET. De acordo com eles, o Sandworm desenvolveu o SwiftSlicer na linguagem de programação Golang, que foi adotada por vários operadores de ameaças por sua versatilidade e pode ser compilada para todas as plataformas e hardware.
Embora o malware tenha sido adicionado ao banco de dados do Virus Total apenas recentemente — enviado em 26 de janeiro —, ele é atualmente detectado por mais da metade dos mecanismos antivírus presentes na plataforma de verificação.
Em um relatório recente, a equipe ucraniana de Resposta a Emergências de Computadores (CERT-UA) diz que o Sandworm também tentou usar cinco utilitários de destruição de dados na rede da agência de notícias Ukrinform. A investigação da agência revelou que o SandWorm distribuiu o malware na rede usando um Group Policy Object (GPO), um conjunto de regras que os administradores usam para configurar sistemas operacionais, aplicativos e configurações do usuário em um ambiente Active Directory, o mesmo método também usado para executar o SwiftSlicer.
