SwiftSlicer

L'Ukraine a récemment été la cible d'une nouvelle cyberattaque de la Russie, qui impliquait l'utilisation d'un essuie-glace de données inconnu appelé SwiftSlicer, qui est écrit en Golang. L'attaque aurait été gérée par Sandworm , un groupe de pirates informatiques parrainé par l'État qui montre des liens avec l'unité militaire 74455 du GRU (Direction principale du renseignement de l'état-major général des forces armées de la Fédération de Russie). Des détails sur la campagne menaçante et la menace SwiftSlicer ont été publiés par des chercheurs en cybersécurité.

Les capacités menaçantes de SwiftSlicer

L'intrusion nuisible déployant SwiftSlicer a été détectée le 25 janvier 2023. Pour atteindre leurs objectifs, les cybercriminels ont exploité la stratégie de groupe Active Directory. Une fois SwiftSlicer exécuté, son code corrompu supprimera tous les clichés instantanés de volumes de fichiers et écrasera de manière récursive les fichiers situés dans %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS et d'autres lecteurs non système trouvés sur les périphériques piratés. Les fichiers ciblés sont détruits en étant écrasés par des séquences d'octets générées aléatoirement d'une longueur de 4 096 octets. Une fois ce processus terminé, les appareils infectés redémarreraient alors.

Les hackers de Sandwork continuent de cibler les organisations ukrainiennes

Le collectif contradictoire russe, Sandworm, a été lié à l'utilisation de variantes de logiciels malveillants d'essuie-glace dans des attaques conçues pour provoquer des perturbations et des destructions en Ukraine. Ce groupe, également connu sous les noms de BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots et Voodoo Bear, est actif depuis 2007 et est responsable d'une série de cybercampagnes sophistiquées ciblant des organisations du monde entier. Des exemples de leurs outils personnalisés incluent BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel et Cyclops Blink .

Rien qu'en 2022, ils ont lancé WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige et RansomBoggs contre des infrastructures critiques en Ukraine. Cela coïncide avec l'invasion militaire du pays par la Russie. L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a récemment lié Sandworm à une tentative de cyberattaque contre Ukrinform - l'agence de presse nationale - qui a eu lieu au plus tard le 7 décembre 2022. Cinq outils malveillants différents d'effacement des données ont été utilisés dans cette attaque : CaddyWiper ; ZeroWipe ; SSupprimer ; AwfulShred et BidSwipe - ciblant les appareils FreeBSD, Windows et Linux.