Nieuw gedetecteerde WhisperGate-malware die wordt gebruikt door voorheen onbekende bedreigingsgroep bij cyberaanvallen tegen Oekraïne
Microsoft waarschuwde zaterdag voor nieuwe, destructieve malware die wordt gebruikt bij cyberaanvallen tegen de Oekraïense overheid.
Beschreven door een mogelijke Master Boot Record (MBR)-wisser, zegt Microsoft dat de malware wordt uitgevoerd wanneer een getroffen apparaat wordt uitgeschakeld en zichzelf vermomt als ransomware, maar geen losgeldherstelmechanisme heeft en bedoeld is als destructieve en op bakstenen gerichte apparaten.
De techgigant zegt malware, die het noemt "fluisterpoort”, verscheen voor het eerst op slachtoffersystemen in Oekraïne op 13 januari 2022 en was gericht op meerdere organisaties, allemaal in Oekraïne.
Hoewel Microsoft zegt dat het geen opmerkelijke associaties heeft gevonden tussen de waargenomen activiteit (die het volgt als DEV-0586) en andere bekende dreigingsgroepen, Oekraïne zei zondag dat het "bewijs" had dat Rusland achter de aanslagen zat.
Een cybersecurity-expert uit de particuliere sector in Kiev vertelde The Associated Press dat de aanvallers de overheidsnetwerken binnendrongen via een gedeelde softwareleverancier in een supply chain-aanval.
"Op dit moment en op basis van de zichtbaarheid van Microsoft hebben onze onderzoeksteams de malware op tientallen getroffen systemen geïdentificeerd en dat aantal zou kunnen groeien naarmate ons onderzoek vordert", zei Microsoft in een persbericht. blogpost. "Deze systemen omvatten meerdere overheids-, non-profit- en informatietechnologie-organisaties, allemaal gevestigd in Oekraïne."
Het Microsoft Threat Intelligence Center (MSTIC) heeft gedeelde tactieken, technieken en procedures (TTP's), samen met indicatoren van compromis (IOC) met betrekking tot de aanvallen.
[VIDEO: John Lambert van Microsoft over betere informatie-uitwisseling in cyberbeveiliging ]
"We kennen de huidige fase van de operationele cyclus van deze aanvaller niet of hoeveel andere slachtofferorganisaties er mogelijk zijn in Oekraïne of andere geografische locaties", voegde Microsoft eraan toe. "Het is echter onwaarschijnlijk dat deze getroffen systemen de volledige omvang van de impact vertegenwoordigen, zoals andere organisaties melden."
De Oekraïense veiligheidsdienst SBU zei dat de aanvallen gericht waren op ten minste 70 overheidswebsites.
"Het bestaan van wiper-malware vermomd als ransomware is niet nieuw", zegt Calvin Gan, Senior Manager Tactical Defense bij F-Secure. SecurityWeek. "WhisperGate of DEV-0586, zoals Microsoft het noemt, lijkt op" NotPetya ontdekt in 2017, wat ook een wisser-malware is vermomd als ransomware. NotPetya heeft destijds veel bedrijven lamgelegd in Oekraïne, Frankrijk, Rusland, Spanje en de Verenigde Staten. Dan is er ook nog de Agrius-groep die wordt gevolgd door onderzoekers van SentinelOne die de laatste tijd ook wiper-malware gebruiken op hun doelorganisaties in het Midden-Oosten.”
In een commentaar op de destructieve aard van de malware herinnert Gan eraan dat het overschrijven van MBR de machine onopstartbaar zou maken, waardoor herstel onmogelijk wordt, vooral wanneer de malware ook de bestandsinhoud overschrijft voordat de MBR wordt overschreven.
"Hoewel de ware bedoeling van de aanvaller om wiper-ransomware in combinatie met bestandscorrupter in te zetten, op dit moment niet bekend is", zei Gan, "is het een teken dat het zich richt op overheidsinstanties en aanverwante instellingen, dat ze willen dat de activiteiten in deze organisaties onmiddellijk worden stopgezet. Misschien is het bitcoin-portemonnee-adres en communicatiekanaal in de losgeldbrief van WhisperGate een rookgordijn om de aandacht af te leiden van de ware intentie van de aanvaller van de aanval, terwijl het moeilijker wordt om ze te volgen.
Al meer dan 10 jaar houdt Mike Lennon het dreigingslandschap nauwlettend in de gaten en analyseert hij trends op het gebied van nationale veiligheid en zakelijke cyberbeveiliging. In zijn rol bij SecurityWeek houdt hij toezicht op de redactionele richting van de publicatie en is hij de directeur van verschillende toonaangevende conferenties over de beveiligingsindustrie over de hele wereld.
Tags: Bron: https://www.securityweek.com/microsoft-uncovers-destructive-malware-used-ukraine-cyberattacks
