Ucrânia: hackers Sandworm atingem agência de notícias com 5 limpadores de dados

A Equipe Ucraniana de Resposta a Emergências de Computadores (CERT-UA) encontrou um coquetel de cinco tipos diferentes de malware de limpeza de dados implantados na rede da agência nacional de notícias do país (Ukrinform) em 17 de janeiro.

“A partir de 27 de janeiro de 2023, foram detectadas 5 amostras de programas maliciosos (scripts), cuja funcionalidade visa violar a integridade e disponibilidade das informações (gravar arquivos/discos com zero bytes/dados arbitrários e sua posterior exclusão), ” Disse CERT-UA (tradução automática do ucraniano).

A lista de malware destrutivo implantado no ataque contra Ukrinform inclui CaddyWiper (Windows), ZeroWipe (Windows), SDelete (Windows), AwfulShred (Linux) e BidSwipe (FreeBSD).

Dois dos cinco tipos, ZeroWipe e BidSwipe, são novos malwares ou são rastreados pelos ucranianos sob nomes diferentes daqueles usados ​​pelos fornecedores de antimalware.

Os invasores lançaram o malware CaddyWiper usando uma política de grupo do Windows (GPO), mostrando que haviam violado a rede do alvo de antemão.

Como o CERT-UA descobriu durante a investigação, os invasores obtiveram acesso remoto à rede do Ukrinform por volta de 7 de dezembro e esperaram mais de um mês para liberar o coquetel de malware.

No entanto, sua tentativa de eliminar todos os dados dos sistemas da agência de notícias falhou. Os limpadores só conseguiram destruir arquivos em “vários sistemas de armazenamento de dados”, o que não afetou as operações do Ukrinform.

“O CERT-UA enfatiza que o ciberataque foi apenas um sucesso parcial, especificamente no que diz respeito a um número limitado de sistemas de armazenamento de dados”, acrescentou o Serviço Estatal de Comunicações Especiais e Proteção de Informações (SSSCIP) da Ucrânia .

CERT-UA Sandworm tweet

Ciberataque ligado a hackers militares russos Sandworm

O CERT-UA vinculou o ataque ao grupo de ameaças Sandworm na semana passada, um grupo de hackers que faz parte da Unidade Militar Russa 74455 da Diretoria Principal de Inteligência (GRU).

Sandworm também usou o limpador de dados CaddyWiper em outro ataque fracassado de abril visando um grande fornecedor de energia ucraniano.

Nesse ataque, os hackers russos usaram uma tática semelhante, implantando CaddyWiper para apagar rastros deixados pelo malware Industroyer ICS, junto com outros três limpadores projetados para sistemas Linux e Solaris, e rastreados como Orcshred, Soloshred e Awfulshred.

Desde que a Rússia invadiu a Ucrânia em fevereiro de 2022, vários tipos de malware de limpeza de dados foram implantados nas redes de alvos ucranianos além do CaddyWiper.

Esta lista também inclui nomes como DoubleZero , HermeticWiper , IsaacWiper , WhisperKill , WhisperGate e AcidRain .

A Microsoft e a empresa de software eslovaca ESET também vincularam recentes ataques de ransomware direcionados à Ucrânia ao grupo de hackers Sandworm.

Fonte: https://www.bleepingcomputer.com/