SwiftSlicer: nuevo malware destructivo ataca a Ucrania

ESET advierte sobre un nuevo malware destructivo cuyo objetivo es borrar datos, que ataca a Ucrania y es atribuida al grupo de APT Sandworm.

Este malware destructivo, apodado SwiftSlicer, fue detectado el 25 de enero en la red de una organización apuntada por este grupo. Se implementó a través de Política de Grupo, también llamadas Directiva de grupo, lo que sugiere que los atacantes habían tomado el control del entorno de Active Directory de la víctima.

Algunos de los wipers detectados por ESET en Ucrania al principio de la invasión de Rusia (HermeticWiper y CaddyWiper) también fueron, en algunos casos, implantados de la misma manera. Este último fue detectado en la red de la agencia nacional de noticias ucraniana Ukrinform hace apenas unos días.

En lo que refiere al método de destrucción de SwiftSlicer, los investigadores de ESET, mencionaron: “Una vez ejecutado borra las shadow copies, sobrescribe de forma recursiva los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades que no son del sistema y luego reinicia la computadora. Para sobrescribir, utiliza un bloque de 4096 bytes de longitud lleno de bytes generados aleatoriamente”.

Dos meses antes, ESET detectó una ola de ataques del ransomware RansomBoggs en Ucrania que también estaban vinculados al grupo Sandworm. Las campañas fueron solo una de las últimas incorporaciones a la lista de ataques dañinos que el grupo ha llevado a cabo contra Ucrania durante la última década. El historial de Sandworm también incluye una serie de ataques (BlackEnergy, GreyEnergy y la primera versión de Industroyer) dirigidos a los proveedores de energía. Un ataque de Industroyer2 fue frustrado con la ayuda de los investigadores de ESET en abril del año pasado.