Cyberattaque

Les pirates utilisent le nouvel malwate SwiftSlicer pour détruire les domaines Windows

Par Philippe Ternision , le 30 janvier 2023 , mis à jour le 30 janvier 2023 - 3 minutes de lecture
hackeur
AccueilActusCyberattaqueLes pirates utilisent le nouvel malwate SwiftSlicer pour détruire les domaines Windows
Notez l'article

SwiftSlicer est un nouveau logiciel malveillant d’effacement de données découvert par des experts en sécurité qui tente de remplacer des fichiers importants du système d’exploitation Windows.

Le nouveau virus a été découvert lors d’une récente cyberattaque contre une cible en Ukraine et a été lié à Sandworm, un collectif de pirates qui fait partie de l’unité militaire 74455 du Centre principal des technologies spéciales (GTsST), une branche de la Direction principale du renseignement de l’état-major général de Russie (GRU).

Nettoyage de données basé sur le Go

SwiftSlicer est actuellement entouré de secret, mais des chercheurs de la société de cybersécurité ESET affirment avoir découvert le logiciel malveillant lors d’une cyberattaque en Ukraine.

Le nom de la cible n’est pas connu, mais Sandworm a déjà attaqué Ukrinform, l’agence de presse ukrainienne, en effaçant des données.

Cependant, l’acteur de la menace a utilisé un autre virus nuisible appelé CaddyWiper dans l’attaque qu’ESET a découverte le 25 janvier. Ce logiciel malveillant a déjà été vu dans des opérations antérieures contre des cibles ukrainiennes [1, 2].

SwiftSlicer aurait été lancé par Sandworm en utilisant la politique de groupe Active Directory, qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les périphériques du réseau Windows.

Selon les chercheurs d’ESET, SwiftSlicer a été utilisé pour réécrire et supprimer des fichiers importants dans le répertoire système de Windows, notamment les pilotes et la base de données Active Directory, ainsi que pour supprimer les copies d’ombre de ces éléments.

La destruction ciblée par le wiper du dossier%CSIDL SYSTEM DRIVE%WindowsNTDS suggère qu’il est également destiné à mettre à terre l’ensemble des domaines Windows, en plus de l’éradication des fichiers.

Fonctions du malware SwiftSlicer pour le nettoyage des données
source : ESET

En utilisant des blocs de 4096 octets remplis chacun d’octets générés de manière aléatoire, SwiftSlicer écrase les données. Selon les experts d’ESET, le malware redémarre les PC après avoir terminé la destruction des données.

SwiftSlicer a été créé par Sandworm dans le langage de programmation Golang, qui a été adopté par de nombreux acteurs de la menace en raison de son adaptabilité et de sa capacité à être compilé pour toutes les plateformes et tous les matériels, ont déclaré les chercheurs.

Bien que le malware n’ait été introduit que récemment dans la base de données de Virus Total (il a été soumis le 26 janvier), plus de la moitié des moteurs antivirus disponibles sur la plateforme d’analyse l’ont déjà identifié.

Le malware destructeur de la Russie

Dans un rapport publié aujourd’hui, le CERT-UA (Ukrainian Computer Emergency Response Team) indique que Sandworm a également tenté d’utiliser cinq utilitaires de destruction de données sur le réseau de l’agence de presse Ukrinform :

  • CaddyWiper (Windows)
  • ZeroWipe (Windows)
  • SDelete (outil légitime pour Windows)
  • AwfulShred (Linux)
  • BidSwipe (FreeBSD)

Selon l’étude de l’agence, SwiftSlicer a également été exécuté par SandWorm à l’aide d’un objet de stratégie de groupe (GPO), un ensemble de directives que les administrateurs utilisent pour modifier les systèmes d’exploitation, les applications et les paramètres utilisateur dans un environnement Active Directory.

 

 

Vues 89

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.