O grupo de hackers "Sandworm", conhecido pelas suas ligações com a Rússia, terá recentemente atacado várias redes internas de instituições na Ucrânia, usando para tal o WinRAR.
As autoridades na Ucrânia, a CERT-UA, recentemente confirmaram um novo ataque do grupo russo, que afetou várias contas VPN comprometidas que não se encontravam protegidas por autenticação em duas etapas, e que foram usadas para acederem a redes internas de instituições do pais.
Os atacantes, uma vez com acesso às infraestruturas, usaram o WinRAR como forma de executar scripts maliciosos para eliminarem dados em sistemas Windows e Linux. Este script, apelidado de RoarBat, procura e elimina vários tipos de ficheiros dos sistemas onde seja executado, com o objetivo de levar à perda de dados.
Os atacantes usaram o WinRAR para este processo, através de uma técnica de arquivamento dos conteúdos e posterior eliminação. Através da linha de comandos, os atacantes começaram por colocar os arquivos num ficheiro comprimido, sendo dada a instrução para também remover os arquivos originais. Depois disso, o próprio ficheiro comprimido era eliminado, o que, na prática, levava à destruição dos dados.
A CERT-UA afirma que o script encontrava-se configurado para correr automaticamente em segundo plano nos sistemas infetados, e em períodos específicos.
No caso de sistemas Linux, o script encontrava-se focado em comandos Bash, que sobrescreviam todos os arquivos com dados "zero", tornando também consideravelmente mais difícil a recuperação dos mesmos – a menos que existam backups.
O objetivo dos atacantes não terá sido roubar dados sensíveis das entidades, mas sim levar a danos elevados de perda de informação e destruição de sistemas.
Nenhum comentário
Seja o primeiro!