Компания Microsoft опубликовала результаты подробного анализа недавней кибератаки на Украину, которые показывают, что вредоносное ПО очень похоже на ransomware.
После кибератаки на украинские правительственные сайты Государственного казначейства, Государственной службы по чрезвычайным ситуациям, Кабинета министров, Министерства иностранных дел, Министерства спорта, Министерства энергетики, Министерства образования и науки и многих других, исследователи в области безопасности выявили характер используемого вредоносного ПО и метод, с помощью которого были повреждены системы.
Вредоносные программы типа ransomware работают просто. Злоумышленники получают доступ к инфраструктуре и устанавливают программу, которая шифрует данные, позволяя мошенникам шантажировать. Каждый день в мире действует множество семейств программ-вымогателей, но все они работают в основном одинаково.
Как выяснила Microsoft, вредоносная программа, используемая в Украине, очень похожа на программу-вымогатель, но с расширенными разрушительными возможностями. По сути, злоумышленники были заинтересованы только в том, чтобы вывести систему из строя и сделать восстановление данных невозможным.
“Двухэтапная вредоносная программа перезаписывает главную загрузочную запись (MBR) на системах жертв с помощью записи с выкупом (этап 1)”, – заявили в Microsoft. “Вредоносная программа запускается, когда устройство выключено. Перезапись MBR нетипична для программ-вымогателей. На самом деле, записка о выкупе — это уловка, а вредоносная программа повреждает MBR и содержимое файлов, на которые она нацелена”.
По многим причинам вероятность того, что это была настоящая атака с целью выкупа, невысока. Например, выкуп запрашивается в каждом конкретном случае, а не одинаково для всех. Атаки с целью выкупа не рассчитаны на такие масштабы, и злоумышленники не указывают адреса крипто-валютных кошельков в сообщении о выкупе. Кроме того, вторая версия вредоносной программы указывает на ее деструктивный характер.
“Stage2.exe – это программа-загрузчик для вредоносной утилиты, разрушающей файлы”, – сообщает Microsoft. “После выполнения stage2.exe загружает вредоносную программу, размещенную на канале Discord, ссылка на загрузку жестко закодирована в загрузчике. Разрушитель перезаписывает содержимое файла фиксированным числом байт 0xCC (общий размер файла 1 МБ). После перезаписи содержимого деструктор переименовывает каждый с, казалось бы, случайным четырехбайтным расширением. После выполнения в памяти деструктор находит файлы в определенных каталогах”.
Похожая кампания была в 2017 году с использованием ransomware-варианта NotPetya, который затронул множество стран и учреждений. Он следовал тому же принципу, с модифицированным ransomware, предназначенным для нанесения максимального ущерба.
Источник Bitdefender
По вопросам приобретения решений Bitdefender обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua.