O campanie de malware ce vizează mai multe organizaţii din Ucraina a fost identificată de Microsoft Threat Intelligence Center (MSTIC), potrivit unui comunicat al Directoratul Naţional de Securitate Cibernetică (DNSC) postat pe Facebook.

Conform sursei, malware-ul a fost identificat pentru prima dată pe staţiile victimelor pe data de 13 ianuarie.

"Investigaţiile sunt în curs, dar până la momentul actual nu au fost identificate informaţii care să lege evenimentul de o grupare de hackeri cunoscută", se menţionează în comunicatul DNSC.

Microsoft Threat Intelligence Center a identificat faptul că malware-ul a fost proiectat să lase impresia unui atac cu ransomware, dar în componenţa acestuia nu există mecanisme care să permită victimelor decriptarea datelor imediat după ce suma de răscumpărare a fost achitată.

Pe 13 ianuarie, Microsoft a identificat activităţi intruzive din Ucraina, ce păreau să fie activităţi de ştergere a MBR (Master Boot Records). În urma investigaţiei, a fost descoperită o variantă de malware specială, care era utilizată în atacuri asupra mai multor organizaţii şi instituţii din Ucraina, se precizează în comunicatul Directoratului Naţional de Securitate Cibernetică.

Primul pas are în vedere modificarea Master Boot Record pentru afişarea unei note de răscumpărare false.

Malware-ul se poate găsi în diferite directoare de pe staţie, iar fişierul poartă de cele mai multe ori numele stage1.exe. Din analiza efectuată până în prezent, malware-ul rulează prin intermediul Impacket, modalitate utilizată de mulţi actori pentru mişcare laterală şi execuţie comenzi.

Primul pas se execută atunci când dispozitivul primeşte comanda de Shut Down. Modificarea MBR este o metodă atipică hackerilor care operează atacuri ransomware. În realitate, nota de răscumpărare este doar o diversiune pentru a deruta victimele.

În cadrul celei de-a doua etape, fişierele sunt corupte de malware. Stage2.exe este un downloader pentru un malware utilizat la coruperea fişierelor. În momentul execuţiei, stage2.exe descarcă un malware găzduit pe un canal de Discord, prin intermediul unei secvenţe de cod inclusă în malware. Acesta este clasificat ca fiind un "file corrupter" din cauza faptului că în momentul execuţiei în memorie, acesta localizează multiple directoare de pe staţie şi corupe fişiere care pot avea zeci de extensii.

Conform comunicatului, MSTIC şi celelate echipe de securitate din cadrul Microsoft lucrează pentru crearea şi implementarea unor instrumente de detecţie.

În prezent, Microsoft a implementat măsuri pentru detecţia noi familii malware denumită WhisperGate (DoS:Win32/WhisperGate.A!dha) în Microsoft Defender Antivirus şi Microsoft Defender Endpoint, se precizează în comunicat.

DNSC recomandă următoarele acţiuni pentru contracararea acestei campanii malware: utilizarea IOC-urilor de la finalul documentului, în scopul identificării prezenţei atacatorilor în infrastructură; revizuirea politicilor de acces la distanţă, în special a conturilor care nu utilizează tehnologii de tipul autentificării multi-factor(MFA); activarea multi-factor authentication (MFA) pentru a preveni utilizarea de către atacatori a unor seturi de credenţiale compromise anterior; activarea Controlled folder Access (CFA) în cazul utilizării Defender Endpoint, pentru a preveni modificările asupra MBR/VBR. AGERPRES/(AS - autor: George Coman; editor: Mariana Nica, editor online: Andreea Lăzăroiu)

Sursa foto: Directoratul Național de Securitate Cibernetică - DNSC/Facebook.com