SwiftSlicer

Die Ukraine wurde kürzlich Ziel eines neuen Cyberangriffs aus Russland, bei dem ein unbekannter Datenlöscher namens SwiftSlicer verwendet wurde, der in Golang geschrieben ist. Es wird angenommen, dass der Angriff von Sandworm verwaltet wurde, einer staatlich geförderten Hackergruppe, die Verbindungen zur Militäreinheit 74455 der GRU (Hauptnachrichtendienst des Generalstabs der Streitkräfte der Russischen Föderation) aufweist. Details über die Drohkampagne und die SwiftSlicer-Bedrohung wurden von Cybersicherheitsforschern veröffentlicht.

Die Bedrohungsfähigkeiten von SwiftSlicer

Der schädliche Einbruch mit SwiftSlicer wurde am 25. Januar 2023 entdeckt. Um ihre Ziele zu erreichen, nutzten die Cyberkriminellen die Active Directory-Gruppenrichtlinie. Sobald SwiftSlicer ausgeführt wird, löscht sein beschädigter Code alle Volume-Schattenkopien von Dateien und überschreibt rekursiv Dateien, die sich in %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS und anderen Nicht-Systemlaufwerken befinden, die auf den verletzten Geräten gefunden werden. Die Zieldateien werden zerstört, indem sie mit zufällig generierten Bytefolgen von 4.096 Byte Länge überschrieben werden. Nach Abschluss dieses Vorgangs würden die infizierten Geräte neu gestartet.

Die Sandwork-Hacker zielen weiterhin auf ukrainische Organisationen

Das russische gegnerische Kollektiv Sandworm wurde mit der Verwendung von Wiper-Malware-Varianten bei Angriffen in Verbindung gebracht, die darauf abzielen, Störungen und Zerstörung in der Ukraine zu verursachen. Diese Gruppe, auch bekannt als BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots und Voodoo Bear, ist seit 2007 aktiv und für eine Reihe ausgeklügelter Cyberkampagnen verantwortlich, die sich an Organisationen auf der ganzen Welt richten. Beispiele für ihre benutzerdefinierten Tools sind BlackEnergy, GreyEnergy, Industroyer, NotPetya, Olympic Destroyer, Exaramel und Cyclops Blink.

Allein im Jahr 2022 haben sie WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2, Prestige und RansomBoggs gegen kritische Infrastrukturen in der Ukraine eingeführt. Dies fällt mit Russlands militärischer Invasion des Landes zusammen. Das Computer Emergency Response Team of Ukraine (CERT-UA) brachte Sandworm kürzlich mit einem versuchten Cyberangriff auf Ukrinform – die nationale Nachrichtenagentur – in Verbindung, der spätestens am 7. Dezember 2022 stattfand. Dabei wurden fünf verschiedene Malware-Tools zum Löschen von Daten in diesem Angriff verwendet: CaddyWiper; ZeroWipe; SLöschen; AwfulShred und BidSwipe – für FreeBSD-, Windows- und Linux-Geräte.