Een nieuwe destructieve malware die zich richt op de Oekraïense overheid en zakelijke entiteiten

Un nuevo malware destructivo dirigido a entidades gubernamentales y comerciales de Ucrania Nachrichten

Cybersecurity-teams van Microsoft hebben zaterdag bekendgemaakt dat ze bewijs hebben gevonden van een nieuwe destructieve malware-operatie genaamd „WhisperGate“ gericht op overheids-, non-profit- en informatietechnologie-entiteiten in Oekraïne te midden van toenemende geopolitieke spanningen tussen het land en Rusland.

„De malware is vermomd als ransomware, maar als deze door de aanvaller wordt geactiveerd, zou het geïnfecteerde computersysteem onbruikbaar worden“, zegt Tom Burt, corporate vice president of customer security and trust bij Microsoft. zei, het toevoegen van de inbraken waren gericht op overheidsinstanties die kritieke uitvoerende macht of noodhulpfuncties bieden.

Onder degenen die door de malware worden getroffen, is ook een IT-bedrijf dat „websites beheert voor klanten in de publieke en private sector, inclusief overheidsinstanties waarvan de websites onlangs zijn beschadigd“, merkte Burt op.

De computergigant, die de malware op 13 januari voor het eerst ontdekte, schreef de aanvallen toe aan een opkomend dreigingscluster met de codenaam „DEV-0586“ zonder waargenomen overlappingen in tactieken en procedures met andere eerder gedocumenteerde groepen. Verder zei het dat de malware werd gevonden op tientallen getroffen systemen, een aantal dat naar verwachting zal toenemen naarmate het onderzoek vordert.

Volgens Microsoft Threat Intelligence Center (MSTIC) en Microsoft Digital Security Unit (DSU), aanvalsketen is een proces in twee fasen dat inhoudt:

  • Het Master Boot Record overschrijven (MBR), de eerste sector van een harde schijf die identificeert waar het besturingssysteem zich op de schijf bevindt, zodat het in het RAM van een computer kan worden geladen, op het systeem van een slachtoffer om een ​​nep losgeldbrief weer te geven waarin het doelwit wordt verzocht een bedrag van $ 10.000 te betalen naar een bitcoin-portemonnee
  • Een uitvoerbaar bestand van de tweede fase dat een bestandscorrupter-malware ophaalt die wordt gehost op een Discord-kanaal dat is ontworpen om te zoeken naar bestanden met 189 verschillende extensies, vervolgens hun inhoud onherroepelijk overschrijft met een vast aantal 0xCC-bytes en elk bestand hernoemt met een schijnbaar willekeurige vier-byte verlenging.

De kwaadaardige activiteit is „inconsistent“ met cybercriminele ransomware-activiteiten om redenen dat „expliciete betalingsbedragen en cryptocurrency-portemonnee-adressen zelden worden gespecificeerd in moderne criminele losgeldnota’s“ en „de losgeldbrief in dit geval geen aangepaste ID bevat“, zei Microsoft.

De ontwikkeling komt op het moment dat tal van overheidswebsites in het Oost-Europese land vrijdag werden beklad met een bericht dat Oekraïners waarschuwde dat hun persoonlijke gegevens naar internet werden geüpload. De Veiligheidsdienst van Oekraïne (SSU) zei dat het „tekenen“ heeft gevonden van betrokkenheid van hackgroepen die gelieerd zijn aan de Russische inlichtingendiensten.

„Gezien de omvang van de waargenomen inbraken, is MSTIC niet in staat om de intentie van de geïdentificeerde destructieve acties te beoordelen, maar gelooft dat deze acties een verhoogd risico vormen voor een overheidsinstantie, non-profitorganisatie of onderneming die zich in Oekraïne of met systemen bevindt“, aldus de onderzoekers. gewaarschuwd.

Echter, Reuters eerder vandaag verhoogde de mogelijkheid dat de aanvallen mogelijk het werk zijn geweest van een spionagegroep die verbonden is met de Wit-Russische inlichtingendienst en wordt gevolgd als UNC1151 en Ghostwriter. „Meerdere significante inbraken in Oekraïense overheidsinstanties zijn uitgevoerd door UNC1151“, cyberbeveiligingsbedrijf Mandiant onthuld in een rapport van november 2021, waarin wordt gewezen op de activiteiten van de groep die in overeenstemming zijn met de belangen van de Wit-Russische regering.

David
Rate author
Hackarizona