Cibercriminosos estão usando o WinRAR como arma cibernética destrutiva. O CERT-UA (Equipe de Resposta a Emergências de Computadores do Governo Ucraniano) informou recentemente que as redes estatais ucranianas sofreram um ataque cibernético atribuído ao notório grupo de hackers ‘Sandworm’ da Rússia. Os invasores supostamente empregaram o WinRar para destruir dados críticos em vários dispositivos do governo.
WinRAR usado como arma cibernética destrutiva por hackers
Os hackers russos se infiltraram com sucesso em sistemas críticos nas redes estatais ucranianas, explorando contas VPN comprometidas que não tinham proteção adequada contra medidas de autenticação multifator. Ao obter acesso não autorizado à rede visada, os criminosos utilizaram scripts especializados que apagavam dados críticos nos sistemas Windows e Linux.
O método escolhido foi o programa de arquivamento WinRar, que foi explorado para realizar os ataques devastadores. O grupo de hackers Sandworm empregou um script BAT chamado RoarBat para executar operações maliciosas em dispositivos Windows.
Este script foi projetado para verificar vários discos e diretórios de destino, buscando tipos de arquivos específicos como: doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, SQL, PHP, vbk, vib, vrb, p7s, sys, DLL, exe, bin, dat.
Os invasores empregaram uma tática específica ao utilizar o WinRar, usando a opção de linha de comando “-df”. Esse recurso exclui automaticamente os arquivos à medida que eles são arquivados, permitindo assim que os criminosos destruam dados críticos com facilidade e sistematicamente. Após o processo de arquivamento, os perpetradores foram além e apagaram os próprios arquivos.
De acordo com o CERT-UA, o script RoarBAT foi executado por meio de uma tarefa agendada criada centralmente e distribuída em todos os dispositivos no domínio do Windows. Essa distribuição foi facilitada por meio de políticas de grupo, que permitiram a implementação contínua de tarefas em toda a rede.
Os invasores optaram por uma abordagem diferente ao visar máquinas Linux, utilizando um script Bash em vez do script BAT empregado em sistemas Windows. Este script usou o utilitário “dd” para sobrescrever tipos de arquivo específicos com zero bytes, tornando os dados completamente irrecuperáveis.
Dada a natureza da substituição de dados realizada pela ferramenta dd, a probabilidade de recuperar arquivos que foram “esvaziados” usando esse método é extremamente baixa.
Pode até ser impossível restaurar o conteúdo dos arquivos afetados. O uso de programas legítimos, como o comando ‘dd’ e o WinRar, provavelmente foi um movimento estratégico dos agentes de ameaças para evitar a detecção por ferramentas antivírus.
De acordo com o CERT-UA, o recente ataque cibernético às redes estatais ucranianas se assemelha a um incidente semelhante ocorrido em janeiro de 2023. O CERT-UA emitiu recomendações para ajudar organizações críticas em todo o país a mitigar o risco de ataques cibernéticos semelhantes.