El grup de hackers rus conegut com a ‘Sandworm’ ha estat identificat com el culpable d’un atac a les xarxes estatals ucraïneses, on van utilitzar WinRar per esborrar dades dels dispositius governamentals. L’Equip de Resposta a Emergències Informàtiques del Govern Ucraïnès (CERT-UA) ha revelat que els pirates informàtics van aprofitar comptes VPN compromesos que mancaven d’autenticació de múltiples factors per obtenir accés als sistemes crítics de les xarxes estatals. Un cop dins, van utilitzar scripts que van utilitzar el programa d’arxivament WinRar per eliminar fitxers tant en màquines amb Windows com amb Linux. Sandworm va emprar un script BAT anomenat ‘RoarBat’ a Windows, que identificava tipus de fitxers específics i els arxivava automàticament utilitzant l’opció de línia de comandes “-df” de WinRar que esborrava fitxers durant el procés d’arxivament. A Linux, van utilitzar un script de Bash que feia servir l’utilitat “dd” per sobreescriure els tipus de fitxer objectiu amb bytes a zero. L’atac té similituds amb un atac destructiu anterior a l’agència de notícies estatal ucraïnesa el gener del 2023, també atribuït a Sandworm. CERT-UA recomana diverses mesures de seguretat per a les organitzacions crítiques, com reduir la superfície d’atac, corregir vulnerabilitats, desactivar serveis innecessaris, limitar l’accés i implementar l’autenticació de múltiples factors per als comptes de VPN.
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.
Source: Bleeping Computer