O grupo de hackers russo "Sandworm" foi vinculado a um ataque às redes estatais ucranianas, onde o WinRar foi usado para destruir dados em dispositivos governamentais.
Em um novo aviso, a Equipe de Resposta a Emergências Computacionais do Governo Ucraniano (CERT-UA) diz que os hackers russos usaram contas VPN comprometidas que não estavam protegidas com autenticação de múltiplos fatores para acessar sistemas críticos nas redes estatais ucranianas.
Uma vez que obtiveram acesso à rede, eles empregaram scripts que apagaram arquivos em máquinas Windows e Linux usando o programa de arquivamento WinRar.
No Windows, o script BAT usado pelo Sandworm é "RoarBat", que procura discos e diretórios específicos para arquivos como doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin e dat, e os arquiva usando o programa WinRAR.
No entanto, quando o WinRar é executado, os criminosos usam a opção de linha de comando "-df", que exclui automaticamente os arquivos conforme são arquivados.
Os arquivos em si foram então excluídos, efetivamente apagando os dados no dispositivo.
A CERT-UA diz que o RoarBAT é executado através de uma tarefa agendada criada e distribuída centralmente para dispositivos no domínio Windows usando políticas de grupo.
Em sistemas Linux, os criminosos usaram um script Bash, que empregou o utilitário "dd" para sobrescrever tipos de arquivo de destino com bytes zero, apagando seu conteúdo.
Devido a essa substituição de dados, a recuperação de arquivos "esvaziados" usando a ferramenta dd é improvável, se não totalmente impossível.
Como tanto o comando 'dd' quanto o WinRar são programas legítimos, os criminosos provavelmente os usaram para evitar a detecção por software de segurança.
A CERT-UA diz que o incidente é semelhante a outro ataque destrutivo que atingiu a agência de notícias estatal ucraniana "Ukrinform" em janeiro de 2023, também atribuído ao Sandworm.
"O método de implementação do plano malicioso, os endereços IP dos sujeitos de acesso, bem como o fato de usar uma versão modificada do RoarBat testemunham a semelhança com o ciberataque ao Ukrinform, cujas informações foram publicadas no canal Telegram "CyberArmyofRussia_Reborn" em 17 de janeiro de 2023", diz o aviso da CERT-UA.
A CERT-UA recomenda que todas as organizações críticas no país reduzam sua superfície de ataque, corrijam falhas, desabilitem serviços desnecessários, limitem o acesso às interfaces de gerenciamento e monitorem o tráfego e os logs de sua rede.
Como sempre, as contas VPN que permitem o acesso às redes corporativas devem ser protegidas com autenticação de múltiplos fatores.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...