Un program malware care se dă drept ransomware e responsabil pentru atacul cibernetic din Ucraina

Microsoft a publicat o analiză mai aprofundată a atacului cibernetic care a avut loc recent în Ucraina, arătând că malware-ul distructiv este de fapt ransomware și se bazează pe un model cunoscut.

În urma atacurilor cibernetice asupra site-urilor web ucrainene ale Trezoreriei Statului, Serviciului de Urgență de Stat, Cabinetului de Miniștri, Ministerului Afacerilor Externe, Ministerului Sportului, Ministerului Energiei, Ministerului Educației și Științei etc., cercetătorii de securitate au identificat malware-ul utilizat și metoda folosită pentru accesarea neautorizată a sistemelor.

Malware-ul, cum ar fi ransomware-ul, se bazează pe o mecanică simplă. Atacatorii obțin acces la infrastructură și implementează un instrument care criptează datele, permițând infractorilor să emită ultimatumuri și șantaje. Multe familii de ransomware sunt active în mediul cibernetic în orice moment, dar toate funcționează în principal în același mod.

Conform celor descoperite de Microsoft, malware-ul folosit în Ucraina este foarte asemănător cu ransomware-ul, dar are capacități distructive îmbunătățite. Practic, atacatorii au fost interesați doar să paralizeze sistemul și să facă imposibilă recuperarea datelor.

„Malware-ul în două etape suprascrie partiția MBR (sectorul de boot principal) pe sistemele victimei cu o notă de răscumpărare (Etapa 1)”, a declarat Microsoft. „Malware-ul se execută atunci când dispozitivul asociat este oprit. Suprascrierea partiției MBR este atipică pentru ransomware-ul utilizat de infractorii cibernetici. În realitate, biletul de răscumpărare este un șiretlic și malware-ul distruge partiția MBR și conținutul fișierelor pe care le vizează.”

Este puțin probabil ca acesta să fi fost un atac ransomware real din mai multe motive. De exemplu, de obicei se solicită o răscumpărare distinctă pentru fiecare entitate afectată, nu o singură răscumpărare pentru toate. Atacurile ransomware nu sunt concepute pentru a fi atât de distructive, iar atacatorii nu oferă adresa portofelului cu criptomonede odată cu nota de răscumpărare. În plus, a doua etapă de desfășurare a malware-ului subliniază natura sa distructivă.

„Stage2.exe este un program de descărcare pentru un malware periculos care criptează fișierele”, explică Microsoft. „La execuție, stage2.exe descarcă programul malware pentru etapa următoare găzduit pe un canal Discord, cu linkul de descărcare specificat în codul programului de descărcare. Apoi, programul suprascrie conținutul fișierului cu un număr fix de 0xCC octeți (dimensiunea totală a fișierului de 1MB). După suprascrierea conținutului, programul redenumește fiecare fișier cu o extensie de patru octeți aparent aleatorie. Odată executat în memorie, programul introduce fișierele în anumite directoare.”

O campanie similară a avut loc în 2017, cu varianta ransomware NotPetya care a afectat numeroase țări și instituții. A urmat același parcurs, cu ransomware modificat conceput pentru a produce daune maxime.

Microsoft a publicat, de asemenea, toți indicatorii disponibili de compromis (IOCs), astfel încât oricine poate recunoaște acum noua amenințare.