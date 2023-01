Sicherheitsforscher haben eine russische Schadsoftware entdeckt, die wichtige Systemdateien auf Windows-Geräten löscht. Die SwiftSlicer genannte Malware soll gegen Ziele in der Ukraine eingesetzt werden und wurde in der Programmiersprache Go geschrieben.

Daten mit Zufallsblöcken überschrieben

Zusammenfassung SwiftSlicer: Malware, gegen ukrainische Ziele eingesetzt, in Go geschrieben.

Entdeckt von ESET-Team, vermutlich von Sandworm-Gruppe.

Löscht Dateien, überschreibt Verzeichnisse mit zufälligen Blöcken.

Erkannt von 50% aller Antiviren-Apps.

Ziel der Attacke unklar.

SwiftSlicer wurde von einem ESET-Team entdeckt und soll im Rahmen eines Angriffs auf ukrainische Systeme genutzt worden sein. Hinter der Attacke steht den Sicherheitsforschern zufolge die Hacker-Gruppe Sandworm, welche für eine russische Militäreinheit arbeitet. Welches konkrete Ziel ins Visier genommen wurde, ist allerdings unklar. SwiftSlicer soll über eine Gruppenrichtlinie im Active Directory gestartet worden sein.Sobald SwiftSlicer auf einen Rechner gelangen konnte und ausgeführt wird, werden zunächst Schattenkopien gelöscht, sodass der aktuelle Systemzustand später nicht mehr wiederhergestellt werden kann. Die Malware überschreibt sämtliche Dateien, die in den Verzeichnissen "%CSIDL_SYSTEM%\drivers sowie %CSIDL_SYSTEM_DRIVE%\Windows\NTDS" abgelegt wurden. Neben den Systemdateien werden auch Nutzerdaten gelöscht.Zum Überschreiben der Verzeichnisse werden zufällig generierte Blöcke mit einer Länge von 4096 Bytes verwendet. Hiermit wird verhindert, dass die Daten mithilfe eines entsprechenden Tools gerettet werden können. Obwohl der von Sandworm entwickelte Schadcode erst vor wenigen Tagen entdeckt wurde, wird die Malware bereits von mehr als 50 Prozent aller von Virus Total gelisteten Antiviren-Apps erkannt. Laut Bleeping Computer hat Sandworm bei einer weiteren Attacke CaddyWiper, ZeroWipe, SDelete, AwfulShred und BidSwipe verwendet, um die Systeme der Nachrichtenagentur Ukrinform lahmzulegen.