Neu entdeckte WhisperGate-Malware, die von einer zuvor unbekannten Bedrohungsgruppe bei Cyberangriffen auf die Ukraine verwendet wird
Microsoft hat am Samstag vor einer neuen, zerstörerischen Malware gewarnt, die bei Cyberangriffen gegen die ukrainische Regierung eingesetzt wird.
Microsoft sagt, dass die Malware, die von einem möglichen Master Boot Record (MBR)-Wischer beschrieben wird, ausgeführt wird, wenn ein betroffenes Gerät heruntergefahren wird, und sich als Ransomware tarnt – es fehlt jedoch ein Lösegeld-Wiederherstellungsmechanismus und sie soll destruktiv sein und auf Geräte abzielen.
Der Technologieriese sagt Malware, die er bezeichnet als „Flüstertor“, erschien erstmals am 13. Januar 2022 auf Opfersystemen in der Ukraine und zielte auf mehrere Organisationen ab, alle in der Ukraine.
Während Microsoft sagt, dass es keine nennenswerten Zusammenhänge zwischen der beobachteten Aktivität (die es verfolgt als DEV-0586) und andere bekannte Bedrohungsgruppen, Ukraine sagte am Sonntag, es habe „Beweise“ dass Russland hinter den Anschlägen steckt.
Ein Cybersicherheitsexperte des Privatsektors in Kiew erzählte The Associated Press dass die Angreifer bei einem Supply-Chain-Angriff über einen gemeinsam genutzten Softwarelieferanten in die Regierungsnetzwerke eingedrungen sind.
„Gegenwärtig und basierend auf der Sichtbarkeit von Microsoft haben unsere Untersuchungsteams die Malware auf Dutzenden von betroffenen Systemen identifiziert, und diese Zahl könnte im Laufe unserer Untersuchung zunehmen“, sagte Microsoft in a Blog-Post. „Diese Systeme umfassen mehrere staatliche, gemeinnützige und IT-Organisationen, die alle in der Ukraine ansässig sind.“
Das Microsoft Threat Intelligence Center (MSTIC) verfügt über gemeinsam genutzte Taktiken, Techniken und Verfahren (TTPs) sowie Indikatoren für Kompromittierung (IOC) im Zusammenhang mit den Angriffen.
[ VIDEO: John Lambert von Microsoft über den besseren Informationsaustausch in der Cybersicherheit ]
„Wir wissen nicht, in welcher Phase sich der Arbeitszyklus dieses Angreifers befindet oder wie viele andere Opferorganisationen in der Ukraine oder an anderen geografischen Standorten existieren könnten“, fügte Microsoft hinzu. „Es ist jedoch unwahrscheinlich, dass diese betroffenen Systeme den vollen Umfang der Auswirkungen darstellen, wie andere Organisationen berichten.“
Der ukrainische Sicherheitsdienst SBU sagte, die Angriffe hätten mindestens 70 Regierungs-Websites zum Ziel gehabt.
„Die Existenz von als Ransomware getarnter Wiper-Malware ist nicht neu“, sagte Calvin Gan, Senior Manager, Tactical Defense bei F-Secure Sicherheitswoche. „WhisperGate oder DEV-0586, wie Microsoft es nennt, hat eine ähnliche Ähnlichkeit mit NotPetya wurde bereits 2017 entdeckt und ist ebenfalls eine als Ransomware getarnte Wiper-Malware. NotPetya hat damals viele Unternehmen in der Ukraine, Frankreich, Russland, Spanien und den Vereinigten Staaten lahmgelegt. Dann gibt es noch die Agrius-Gruppe, die von Forschern von SentinelOne verfolgt wurde, die kürzlich auch Wiper-Malware auf ihre Zielorganisationen im Nahen Osten angewendet hat.“
In Bezug auf die zerstörerische Natur der Malware erinnert Gan daran, dass das Überschreiben des MBR den Computer nicht mehr booten lassen würde, was eine Wiederherstellung unmöglich machen würde, insbesondere wenn die Malware auch Dateiinhalte überschreibt, bevor sie den MBR überschreibt.
„Während die wahre Absicht des Angreifers, Wiper-Ransomware in Verbindung mit einem Dateikorrumpierer einzusetzen, derzeit nicht bekannt ist“, sagte Gan, „ist die Ausrichtung auf Regierungsbehörden und zugehörige Einrichtungen ein Zeichen dafür, dass sie wollen, dass die Operationen in diesen Organisationen sofort eingestellt werden. Vielleicht ist die Bitcoin-Wallet-Adresse und der Kommunikationskanal in der Lösegeldforderung von WhisperGate eine Nebelwand, um die Aufmerksamkeit von der wahren Absicht des Angreifers abzulenken und es gleichzeitig schwieriger zu machen, sie zu verfolgen.“
Seit mehr als 10 Jahren beobachtet Mike Lennon die Bedrohungslandschaft genau und analysiert Trends im Bereich der nationalen Sicherheit und der Cybersicherheit von Unternehmen. In seiner Rolle bei SecurityWeek überwacht er die redaktionelle Leitung der Veröffentlichung und ist der Direktor mehrerer führender Konferenzen der Sicherheitsindustrie weltweit.
Stichworte: 
