Hackers russos usam o WinRAR para limpar os dados da agência estatal da Ucrânia

O grupo de hackers russo 'Sandworm' foi vinculado a um ataque às redes estatais ucranianas, onde o WinRar foi usado para destruir dados em dispositivos do governo.

Em um novo comunicado, a Equipe de Resposta a Emergências de Computadores do Governo Ucraniano (CERT-UA) diz que os hackers russos usaram contas VPN comprometidas que não estavam protegidas com autenticação multifator para acessar sistemas críticos nas redes estatais ucranianas.

Assim que obtiveram acesso à rede, eles empregaram scripts que apagavam arquivos em máquinas Windows e Linux usando o programa de arquivamento WinRar.

No Windows, o script BAT usado pelo Sandworm é 'RoarBat', que pesquisa discos e diretórios específicos para tipos de arquivo como doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin e dat e os arquiva usando o programa WinRAR.

No entanto, quando o WinRar é executado, os agentes da ameaça usam a opção de linha de comando "-df", que exclui automaticamente os arquivos à medida que são arquivados. Os próprios arquivos foram excluídos, excluindo efetivamente os dados no dispositivo.

O CERT-UA diz que o RoarBAT é executado por meio de uma tarefa agendada criada e distribuída centralmente para dispositivos no domínio do Windows usando políticas de grupo.

Em sistemas Linux, os agentes de ameaças usaram um script Bash, que empregou o utilitário "dd" para sobrescrever os tipos de arquivo de destino com zero bytes, apagando seu conteúdo. Devido a essa substituição de dados, a recuperação de arquivos "esvaziados" usando a ferramenta dd é improvável, se não totalmente impossível.

Como o comando 'dd' e o WinRar são programas legítimos, os invasores provavelmente os usaram para contornar a detecção por software de segurança.

O CERT-UA diz que o incidente é semelhante a outro ataque destrutivo que atingiu a agência de notícias estatal ucraniana "Ukrinform" em janeiro de 2023, também atribuído a Sandworm.

"O método de implementação do plano malicioso, os endereços IP dos sujeitos de acesso, bem como o uso de uma versão modificada do RoarBat atestam a semelhança com o ataque cibernético ao Ukrinform, informações sobre as quais foram publicadas no canal Telegram " CyberArmyofRussia_Reborn" em 17 de janeiro de 2023." lê o comunicado do CERT-UA.

O CERT-UA recomenda que todas as organizações críticas do país reduzam sua superfície de ataque, corrijam falhas, desabilitem serviços desnecessários, limitem o acesso a interfaces de gerenciamento e monitorem seu tráfego de rede e logs.

Como sempre, contas VPN que permitem acesso a redes corporativas devem ser protegidas com autenticação multifator.

Google: Ucrânia foi alvo de 60% dos ataques de phishing russos em 2023

Novo mapa do CS:GO contorna a censura da Rússia às notícias da guerra na Ucrânia

Hackers usam guias falsos do 'Windows Update' para atingir o governo ucraniano

Agência cibernética do Reino Unido alerta sobre uma nova 'classe' de hackers russos

Ucraniano é preso por vender dados de 300 milhões de pessoas para russos