חוקרי אבטחת סייבר זיהו נוזקה חדשה למחיקת נתונים, אותה כינו SwiftSlicer. מטרת הנוזקה הינה להחליף קבצים חיוניים המשמשים את מערכת ההפעלה של Windows. הנוזקה החדשה התגלתה במתקפת סייבר אשר בוצעה לאחרונה נגד יעד באוקראינה ויוחסה ל- Sandworm, קבוצת האקרים הפועלת עבור מנהל המודיעין הראשי של המטה הכללי של רוסיה, כחלק מהיחידה הצבאית הראשית לטכנולוגיות מיוחדות.
בעוד שקיימים כרגע רק פרטים מועטים לגבי SwiftSlicer, טוענים חוקרי אבטחת סייבר בחברת ESET שהם מצאו את הנוזקה ההרסנית במהלך מתקפת סייבר באוקראינה. שם היעד האוקראיני לא פורסם, אולם מתקפת הסייבר הזו כוללת מתקפת מחיקת נתונים של Ukrinform – סוכנות הידיעות הלאומית של אוקראינה. יש לציין כי במתקפה שגילתה ESET ב- 25 בינואר, הפעילו ההאקרים נוזקה הרסנית אחרת בשם CaddyWiper, שנצפתה בעבר בהתקפות אחרות על מטרות אוקראיניות.
ESET טוענים כי ההאקרים הפעילו את SwiftSlicer באמצעות Active Directory Group Policy, המאפשרת למנהלי דומיין להפעיל סקריפטים ופקודות בכל המכשירים אשר ברשת Windows. חוקרי ESET אומרים ש- SwiftSlicer נפרס כדי למחוק קבצים וכדי להחליף קבצים קריטיים בספריית מערכת Windows, במיוחד מנהלי התקנים ומסד הנתונים של Active Directory. ההתמקדות הספציפית של ההאקרים בתיקייה %CSIDL_SYSTEM_DRIVE%\Windows\NTDS מצביעה על כך שהנוזקה נועדה לא רק להרוס קבצים אלא גם להפיל את כל הדומיינים של Windows.
SwiftSlicer מחליף נתונים באמצעות בלוקים של 4096 בתים הממלאים בתים שנוצרו באופן אקראי. לאחר השלמת עבודת השמדת הנתונים, מאתחלת הנוזקה את המערכות. לדברי חוקרי הסייבר, פיתחו ההאקרים את SwiftSlicer בשפת התכנות Golang, שאומצה על ידי מספר גורמי איומים בשל הרבגוניות שלה וניתן לבנות אותה עבור כל פלטפורמה וחומרה. למרות שהנוזקה נוספה למסד הנתונים של Virus Total רק לאחרונה (הוגשה ב- 26 בינואר), היא מזוהה כיום על ידי יותר ממחצית ממנועי האנטי וירוס הקיימים.
