Un nuevo ciberataque que parece estar dirigido a Ucrania y está diseñado para sobrescribir archivos cruciales de Windows ha sido detectado por la firma de seguridad ESET.
"El 25 de enero #ESETResearch descubrió un nuevo ciberataque en Ucrania. Los atacantes desplegaron un nuevo wiper al que llamamos #SwiftSlicer utilizando la directiva de grupo de Active Directory. El wiper #SwiftSlicer está escrito en lenguaje de programación Go. Atribuimos este ataque a #Sandworm", rezaba un tuit de la compañía.
También conocido como Unidad 74455, Sandworm es supuestamente un grupo de hackers cibermilitares rusos que trabajan para la Dirección Principal de Inteligencia del Estado Mayor (GRU). Al grupo también se le atribuyen otros ataques en Ucrania, incluido un ataque a la red eléctrica en el 2015, aunque estas afirmaciones no han sido corroboradas por el momento.
Ciberataque: Sandworm SwiftSlicer
"Una vez ejecutado, elimina las instantáneas, sobrescribe recursivamente los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades no relacionadas con el sistema y, a continuación, reinicia el ordenador", añadió ESET en otro tuit.
Se dice que Go, el lenguaje de programación en el que se basa el ataque, es valorado por los actores de amenazas por su versatilidad (según Bleeping Computer), y es utilizado por una serie de empresas genuinas por razones legítimas, incluyendo Google, Twitter y PayPal.
Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania, Sandworm ha estado ocupado lanzando otros ataques en el país, incluidos cinco ataques de borrado de datos a la Agencia Nacional de Noticias de Ucrania - Ukrinform.
Una cepa encontrada en el nuevo ataque a la agencia, CaddyWiper, se ha observado en una serie de ataques a Ucrania, lo que indica un vínculo con Sandstorm.
Si Sandstorm es realmente un brazo del ejército ruso, entonces está claro que la guerra multifacética sigue causando estragos en las vidas de tantas empresas y ciudadanos ucranianos.
