I ricercatori di sicurezza di ESET hanno identificato un nuovo malware in grado di cancellare i dati, noto come SwiftSlicer, che sovrascrive i file vitali del sistema operativo Windows.
La scoperta è avvenuta in seguito a un recente attacco informatico contro Ukrinform, l'agenzia di stampa nazionale ucraina. L’attacco è stato attribuito a Sandworm, un gruppo di hacker che lavora per la Direzione principale dell'intelligence dello Stato Maggiore russo (GRU) nell’ambito dell'unità militare 74455 del Centro principale per le tecnologie speciali (GTsST). Al momento, non ci sono molti altri dettagli su SwiftSlicer.
Secondo ESET, Sandworm avrebbe lanciato SwiftSlicer utilizzando i criteri di gruppo di Active Directory, che consentono agli amministratori di dominio di eseguire script e comandi su tutti i dispositivi di una rete Windows. SwiftSlicer sarebbe stato distribuito per eliminare le copie shadow e sovrascrivere i file critici nella directory di sistema di Windows, in particolare i driver e il database di Active Directory.
In base alla specifica destinazione della cartella %CSIDL_SYSTEM_DRIVE%\Windows\NTDS sembra che wiper non abbia solo lo scopo di distruggere i file, ma anche di colpire interi domini di Windows. SwiftSlicer sovrascrive i dati utilizzando blocchi di 4096 byte utilizzando byte generati casualmente. Dopo aver completato il lavoro di distruzione dei dati, il malware riavvia i sistemi.
I ricercatori di ESET affermano, altresì, che Sandworm avrebbe sviluppato SwiftSlicer nel linguaggio di programmazione Golang, già adottato da diversi hacker per via della sua versatilità e compatibilità con tutte le piattaforme e hardware.Sebbene il malware sia stato aggiunto al database di Virus Total solo il 26 gennaio, viene già rilevato da oltre metà dei motori antivirus presenti sulla piattaforma.