SandWorm, os hackers do APT por trás do NotPetya e do Industroyer

SandWorm é um dos mais infames grupos de Ameaças Persistentes Avançadas (APT). Suas atividades podem ser rastreadas até 2009 e esteve envolvida em vários ataques contra entidades e nações que se opõem à Rússia. Especialistas em segurança cibernética acreditam que o grupo SandWorm APT pode ser uma subdivisão do GRU, a unidade de inteligência militar da Rússia. Em campanhas anteriores, os hackers SandWorm também foram referidos sob os pseudônimos Iron Viking, Telebots e outros.

Nos últimos anos, o SandWorm foi notícia inúmeras vezes, com o uso de malware destrutivo e inovador que foi usado em ataques cuidadosamente orquestrados. Um dos implantes mais infames aos quais o SandWorm está associado é o NotPetya Ransomware – uma das primeiras ameaças com o objetivo de danificar o Master Boot Record (MBR) em vez de arquivos individuais. Ao eliminar o MBR dos discos rígidos, o NotPetya Ransomware garantiu que os sistemas comprometidos não pudessem inicializar.

O malware destrutivo parece ser a especialidade do SandWorm, e eles também são responsáveis pelo uso de outros limpadores de alto perfil, como o Olympic Destroyer e o Industroyer. O primeiro esteve envolvido em um ataque cibernético que ocorreu durante a abertura dos Jogos Olímpicos de Inverno de 2018. Enquanto isso, o Industroyer é um implante malicioso projetado especificamente para atingir os Sistemas de Controle Industrial (ICS) usados em instalações de rede elétrica. Os hackers do SandWorm empregaram o Industroyer em ataques contra a rede elétrica ucraniana em 2016.

As últimas notícias do SandWorm estão associadas ao Industroyer2, um sucessor do infame implante que eles usaram em 2016. Os hackers do SandWorm o empregaram em abril de 2022, em outro ataque contra a rede elétrica ucraniana. O objetivo da operação era desencadear um apagão, assim como o que os hackers conseguiram orquestrar em dezembro de 2015.