Os investigadores da Ciber-segurança identificaram um novo malware que se diz ser direccionado para a Ucrânia. O software malicioso, detectado pela empresa ciber-segurança ESET, destina-se a sobrescrever ficheiros utilizados pelo sistema operativo Windows da Microsoft. Os investigadores de segurança culparam o ataque a um grupo apelidado de “Sandworm” que tem sido repetidamente acusado de conduzir ciberataques. A equipa de pirataria informática alegadamente empregou um novo limpa pára-brisas apelidado SwiftSlicer, utilizando a política de grupo do Active Directory. Uma vez executado, o SwiftSlicer elimina cópias de sombras, sobregrava sucessivamente ficheiros no sistema e unidades sem sistema e depois reinicia o computador.
A empresa de segurança ESET descobriu recentemente um ataque cibernético que tinha como alvo a Ucrânia. O ataque foi atribuído a Sandworm e teve lugar a 25 de Janeiro. A equipa é alegadamente um dos grupos de hacking da Direcção Principal do Estado-Maior General das Forças Armadas da Federação Russa (também conhecida como GRU) e é frequentemente acusada de realizar ciberataques. O novo malware está escrito na linguagem de programação Go.
“Os atacantes colocaram um novo limpa pára-brisas que nomeámos #SwiftSlicer utilizando a Política de Grupo do Active Directory. O limpa pára-brisas #SwiftSlicer está escrito em linguagem de programação Go. Atribuímos este ataque a #Sandworm”, ESET revelado via Twitter.
Investigadores da ESET explicar que o limpador SwiftSlicer apaga as cópias de sombra no sistema Windows após a execução. O malware então recursivamente (sucessivamente) substitui vários ficheiros localizados nos drivers do sistema, bem como unidades sem sistema, e depois reinicia o computador. Para a sua sobreescrita, utiliza um bloco de 4096 bytes de comprimento preenchido com bytes gerados aleatoriamente, de acordo com o ESET.
De acordo com a Equipa de Resposta de Emergência Informática da Ucrânia (CERT-UA), o Sandworm da Rússia lançou cinco ataques de limpeza à Agência Nacional de Notícias da Ucrânia – Ukrinform.
Num aconselhamento CERT-UA afirma ter descoberto as variantes CaddyWiper, ZeroWipe, SDelete, AwfulShred, e BidSwipe instaladas nos sistemas da agência de notícias. Destes, os primeiros três sistemas Windows visados, enquanto AwfulShred e BidSwipe visavam sistemas Linux e FreeBSD na Ukrinform. O ataque foi apenas parcialmente bem sucedido e não afectou as operações da agência noticiosa.
Fonte: gadgets360
