Логотип Зефирнет

Microsoft обнаружила деструктивное вредоносное ПО, используемое в кибератаках на Украине

Дата:

Вновь обнаруженное вредоносное ПО WhisperGate используется ранее неизвестной группой угроз в кибератаках на Украину

Microsoft в субботу предупредила о новом разрушительном вредоносном ПО, используемом в кибератаках против правительства Украины.

Microsoft утверждает, что это вредоносное ПО, описанное как возможное средство очистки основной загрузочной записи (MBR), запускается, когда пострадавшее устройство отключается, и маскируется под программу-вымогатель, но в нем отсутствует механизм восстановления с целью получения выкупа, и оно предназначено для разрушения и блокировки целевых устройств.

Технический гигант говорит, что вредоносное ПО, которое он называет «шепчгейт», впервые появился в системах жертв в Украине 13 января 2022 года и был нацелен на несколько организаций, все в Украине. 

Хотя Microsoft заявляет, что не обнаружила каких-либо заметных связей между наблюдаемой активностью (которую она отслеживает как DEV-0586) и другие известные группы угроз, Украина заявил в воскресенье, что у него есть «доказательства» что за терактами стоит Россия.

Эксперт по кибербезопасности частного сектора в Киеве сказал Associated Press что злоумышленники проникли в правительственные сети через общего поставщика программного обеспечения в ходе атаки на цепочку поставок.

«В настоящее время наши следственные группы выявили вредоносное ПО на десятках пострадавших систем, и это число может вырасти по мере продолжения нашего расследования», — говорится в сообщении Microsoft. блоге. «Эти системы охватывают несколько государственных, некоммерческих организаций и организаций, занимающихся информационными технологиями, и все они базируются в Украине». 

Microsoft Threat Intelligence Center (MSTIC) имеет общие тактики, методы и процедуры (TTP), а также индикаторы компрометации (IOC), связанные с атаками. 

[ ВИДЕО: Джон Ламберт из Microsoft о лучшем обмене информацией в кибербезопасности ]

«Мы не знаем, на каком этапе операционного цикла этого злоумышленника сейчас находится, а также сколько других организаций-жертв может существовать в Украине или других географических точках», — добавили в Microsoft. «Однако маловероятно, что эти затронутые системы отражают весь масштаб воздействия, о котором сообщают другие организации».

Служба безопасности Украины заявила, что атакам подверглись не менее 70 правительственных веб-сайтов.

«Существование вредоносного ПО Wiper, замаскированного под программу-вымогатель, не ново», — сказал Кэлвин Ган, старший менеджер по тактической защите в F-Secure. SecurityWeek. «WhisperGate или DEV-0586, как его называет Microsoft, имеет сходство с NotPetya обнаруженный еще в 2017 году, который также является вредоносной программой-очистителем, замаскированной под программу-вымогатель. NotPetya в то время подкосил многие компании в Украине, Франции, России, Испании и США. Кроме того, есть группа Agrius, отслеживаемая исследователями из SentinelOne, которая недавно также использовала вредоносное ПО Wiper в своих целевых организациях на Ближнем Востоке».

Комментируя деструктивный характер вредоносного ПО, Ган напоминает, что перезапись MBR приведет к тому, что машина перестанет загружаться, что сделает восстановление невозможным, особенно если вредоносное ПО также перезаписывает содержимое файла перед перезаписью MBR.

«Хотя истинные намерения злоумышленника развернуть программу-вымогатель Wiper в сочетании с разрушителем файлов на данный момент неизвестны, — сказал Ган, — то, что она нацелена на правительственные учреждения и связанные с ними учреждения, является признаком того, что они хотят, чтобы операции в этих организациях были немедленно прекращены. Возможно, адрес биткойн-кошелька и канал связи в записке WhisperGate о выкупе — это дымовая завеса, чтобы отвлечь внимание от истинных намерений злоумышленника и усложнить их отслеживание».

счетчик просмотров

Более 10 лет Майк Леннон внимательно следит за ландшафтом угроз и анализирует тенденции в области национальной безопасности и корпоративной кибербезопасности. В своей должности в SecurityWeek он курирует редакционное руководство публикации и является директором нескольких ведущих конференций индустрии безопасности по всему миру.

Предыдущие колонки Майка Леннона:
Теги:

Источник: https://www.securityweek.com/microsoft-uncovers-destructive-malware-used-ukraine-cyberattacks.

Spot_img

Последняя разведка

Spot_img