Microsoft предупреждает о кампании деструктивного вредоносного ПО, нацеленной на Украину

Microsoft обнаружила крупную кампанию по удалению вредоносного ПО, нацеленную на государственные, ИТ- и некоммерческие организации по всей Украине.

Атаки, получившие название «WhisperGate», были впервые обнаружены 13 января, примерно в то же время, когда более десятка государственных веб-сайтов были отключены в том, что было описано как «массивная» кибератака.

Хотя Microsoft заявила, что не заметила никаких связей между разрушительной вредоносной кампанией, отслеживаемой как DEV-0586, и предыдущими известными группами активности, это происходит во время обострения напряженности в отношениях с Россией, которая снова угрожает Украине вторжением.

Вредоносная программа, «которая выглядит как программа-вымогатель, но не имеет механизма восстановления после выкупа», была обнаружена на «десятках» систем, хотя могла распространиться гораздо шире. Майкрософт предупредил.

«Двухэтапное вредоносное ПО перезаписывает основную загрузочную запись (MBR) в системах-жертвах примечанием о выкупе (этап 1). MBR — это часть жесткого диска, которая сообщает компьютеру, как загружать операционную систему. Записка о выкупе содержит биткойн-кошелек и идентификатор Tox (уникальный идентификатор учетной записи, используемый в зашифрованном протоколе обмена сообщениями Tox), которые ранее не наблюдались Microsoft Threat Intelligence Center (MSTIC)», — отмечается в сообщении в блоге.

«Вредоносная программа запускается, когда соответствующее устройство выключено. Перезапись MBR нетипична для киберпреступных программ-вымогателей. На самом деле заметка о программе-вымогателе — это уловка, и вредоносная программа уничтожает MBR и содержимое файлов, на которые она нацелена».

Вредоносное ПО второй стадии размещается на канале Discord и предназначено для обнаружения файлов с определенными расширениями, перезаписи содержимого и переименования файла со случайным четырехбайтным расширением.

Microsoft призвала затронутые организации искать соответствующие IoC, расследовать любые аномальные действия по проверке подлинности и включить многофакторную проверку подлинности (MFA) и контролируемый доступ к папкам (CFA) в Microsoft Defender, чтобы предотвратить модификацию MBR.

Старший менеджер по тактической защите F-Secure Кэлвин Ган заявил, что WhisperGate имеет отголоски печально известной кампании NotPetya. привязаны к Российскому государству.

«С использованием вредоносного ПО Wiper становится ясно, что злоумышленники не преследуют финансовую выгоду, а больше заинтересованы в том, чтобы нанести ущерб целевым операциям. Перезапись MBR приведет к тому, что машина перестанет загружаться, что сделает восстановление невозможным, особенно когда вредоносное ПО также перезаписывает содержимое файла перед перезаписью MBR», — сказал он.

«Хотя истинное намерение злоумышленника развернуть программу-вымогатель Wiper в сочетании с разрушителем файлов на данный момент неизвестно, его нацеленность на государственные учреждения и связанные с ними учреждения является признаком того, что они хотят, чтобы операции в этих организациях были немедленно прекращены. Возможно, адрес биткойн-кошелька и канал связи в записке WhisperGate о выкупе — это дымовая завеса, чтобы отвлечь внимание от истинных намерений злоумышленника и усложнить их отслеживание».

Leave a comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.