bienvenido a t-cert
Apodado SwiftSlicer, este malware destructivo fue detectado el 25 de enero en la red de una organización apuntada por este grupo. Se implementó a través de Política de Grupo, también llamadas Directiva de grupo, lo que sugiere que los atacantes habían tomado el control del entorno de Active Directory de la víctima.
Algunos de los wipers detectados en Ucrania al principio de la invasión de Rusia (HermeticWiper y CaddyWiper) también fueron, en algunos casos, implantados de la misma manera. Este último fue detectado por última vez en la red de la agencia nacional de noticias ucraniana Ukrinform hace apenas unos días.
En lo que refiere al método de destrucción de SwiftSlicer, los investigadores de Tigo Business dijeron lo siguiente: “Una vez ejecutado borra las shadow copies, sobrescribe de forma recursiva los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades que no son del sistema y luego reinicia la computadora. Para sobrescribir, utiliza un bloque de 4096 bytes de longitud lleno de bytes generados aleatoriamente”.
Dos meses antes, se detectó una ola de ataques del ransomware RansomBoggs en el país devastado por la guerra, que también estaban vinculados al grupo Sandworm. Las campañas fueron solo una de las últimas incorporaciones a la larga lista de ataques dañinos que el grupo ha llevado a cabo contra Ucrania durante la última década. El historial de Sandworm también incluye una serie de ataques (BlackEnergy, GreyEnergy y la primera versión de Industroyer) dirigidos a los proveedores de energía.
.jpg){kind=small}