Cibercriminosos estão usando o WinRAR como arma cibernética destrutiva. O CERT-UA (Equipe de Resposta a Emergências de Computadores do Governo Ucraniano) informou recentemente que as redes estatais ucranianas sofreram um ataque cibernético atribuído ao notório grupo de hackers ‘Sandworm’ da Rússia. Os invasores supostamente empregaram o WinRar para destruir dados críticos em vários dispositivos do governo.
WinRAR usado como arma cibernética destrutiva por hackers
Os hackers russos se infiltraram com sucesso em sistemas críticos nas redes estatais ucranianas, explorando contas VPN comprometidas que não tinham proteção adequada contra medidas de autenticação multifator. Ao obter acesso não autorizado à rede visada, os criminosos utilizaram scripts especializados que apagavam dados críticos nos sistemas Windows e Linux.
O método escolhido foi o programa de arquivamento WinRar, que foi explorado para realizar os ataques devastadores. O grupo de hackers Sandworm empregou um script BAT chamado RoarBat para executar operações maliciosas em dispositivos Windows.
Notícias Relacionadas
Meta acaba com rede de sextorsão no Instagram, eliminando 63.000 contas!
A Meta removeu 63.000 contas do Instagram da Nigéria, por estarem envolvidas em golpes de sextorsão. A exclusão incluiu uma rede coordenada de 2.500 contas vinculadas a 20 indivíduos que tinham como alvo principalmente homens adultos nos Estados Unidos. Meta exclui contas do Instagram vinculadas a sextorsão A Meta disse que essas contas estão vinculadas […]
Pane global
CEO da CrowdStrike em breve já pode pedir música no Fantástico
O atual CEO da CrowdStrike, George Kurtz, foi CEO da McAFee que em sua estadia na empresa causou um erro em uma atualização do McAFee que deixou milhares de computadores em loop de reinicialização sem fim. Kurtz já é considerado o único CEO do mundo a presidir duas grandes interrupções globais de PCs causada por […]
Este script foi projetado para verificar vários discos e diretórios de destino, buscando tipos de arquivos específicos como: doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, SQL, PHP, vbk, vib, vrb, p7s, sys, DLL, exe, bin, dat.
Os invasores empregaram uma tática específica ao utilizar o WinRar, usando a opção de linha de comando “-df”. Esse recurso exclui automaticamente os arquivos à medida que eles são arquivados, permitindo assim que os criminosos destruam dados críticos com facilidade e sistematicamente. Após o processo de arquivamento, os perpetradores foram além e apagaram os próprios arquivos.
De acordo com o CERT-UA, o script RoarBAT foi executado por meio de uma tarefa agendada criada centralmente e distribuída em todos os dispositivos no domínio do Windows. Essa distribuição foi facilitada por meio de políticas de grupo, que permitiram a implementação contínua de tarefas em toda a rede.
Os invasores optaram por uma abordagem diferente ao visar máquinas Linux, utilizando um script Bash em vez do script BAT empregado em sistemas Windows. Este script usou o utilitário “dd” para sobrescrever tipos de arquivo específicos com zero bytes, tornando os dados completamente irrecuperáveis.
Dada a natureza da substituição de dados realizada pela ferramenta dd, a probabilidade de recuperar arquivos que foram “esvaziados” usando esse método é extremamente baixa.
Pode até ser impossível restaurar o conteúdo dos arquivos afetados. O uso de programas legítimos, como o comando ‘dd’ e o WinRar, provavelmente foi um movimento estratégico dos agentes de ameaças para evitar a detecção por ferramentas antivírus.
De acordo com o CERT-UA, o recente ataque cibernético às redes estatais ucranianas se assemelha a um incidente semelhante ocorrido em janeiro de 2023. O CERT-UA emitiu recomendações para ajudar organizações críticas em todo o país a mitigar o risco de ataques cibernéticos semelhantes.
