Ce malware destructeur, baptisé SwiftSlicer, a été détecté sur Le 25 janvier sur le réseau d’un organisme visé par ce groupe. Il a été mis en œuvre via la stratégie de groupe, également appelée stratégie de groupe, suggérant que les attaquants avaient pris le contrôle de l’environnement Active Directory de la victime.
Certains des essuie-glaces détectés par ESET en Ukraine au début de l’invasion russe (HermeticWiper et CaddyWiper) ont également été, dans certains cas, implantés de la même manière.
Ce dernier a été détecté sur le réseau de l’agence de presse nationale ukrainienne Ukrinform il y a quelques jours à peine.
Concernant la méthode de destruction de SwiftSlicer, les chercheurs d’ESET ont mentionné : “Une fois exécuté, il supprime les clichés instantanés, écrase de manière récursive les fichiers situés sur %CSIDL_SYSTEM%drivers, %CSIDL_SYSTEM_DRIVE%WindowsNTDS et d’autres lecteurs non système, puis redémarre l’ordinateur. Pour écraser, il utilise un bloc de 4096 octets rempli d’octets générés aléatoirement.
Deux mois plus tôt, ESET avait détecté une vague d’attaques de rançongiciels RansomBoggs en Ukraine qui étaient également liées au groupe Sandworm. Les campagnes n’étaient que l’un des derniers ajouts à la liste des attaques dévastatrices que le groupe a menées contre l’Ukraine au cours de la dernière décennie. Le bilan de Sandworm comprend également une série d’attaques (BlackEnergy, GreyEnergy et la première version d’Industroyer) ciblant les fournisseurs d’énergie. Une attaque Industroyer2 a été déjouée avec l’aide des chercheurs d’ESET en avril de l’année dernière.
merci
