Η ρωσική ομάδα hacking «Sandworm» έχει συνδεθεί με μια επίθεση σε κρατικά δίκτυα της Ουκρανίας όπου το WinRar χρησιμοποιήθηκε για την καταστροφή δεδομένων σε κυβερνητικές συσκευές.
Σε μια νέα συμβουλευτική, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) λέει ότι οι Ρώσοι χάκερ χρησιμοποίησαν παραβιασμένους λογαριασμούς VPN που δεν προστατεύονταν με έλεγχο ταυτότητας πολλαπλών παραγόντων για πρόσβαση σε κρίσιμα συστήματα στα δίκτυα του ουκρανικού κράτους.
Μόλις απέκτησαν πρόσβαση στο δίκτυο, χρησιμοποίησαν σενάρια που σκούπιζαν αρχεία σε μηχανές Windows και Linux χρησιμοποιώντας το πρόγραμμα αρχειοθέτησης WinRar.
Στα Windows, το σενάριο BAT που χρησιμοποιείται από το Sandworm είναι “RoarBat”, το οποίο αναζητά δίσκους και συγκεκριμένους καταλόγους για τύπους αρχείων όπως doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin και dat και τα αρχειοθετεί χρησιμοποιώντας το πρόγραμμα WinRAR.
Ωστόσο, όταν εκτελείται το WinRar, οι παράγοντες απειλής χρησιμοποιούν την επιλογή της γραμμής εντολών “-df”, η οποία διαγράφει αυτόματα τα αρχεία καθώς αρχειοθετούνται, διαγράφοντας ουσιαστικά τα δεδομένα της συσκευής