Компанія Microsoft опублікувала результати докладного аналізу нещодавньої кібератаки на українські урядові сайти, які показують, що шкідливе програмне забезпечення дуже схоже на ransomware.

Після кібератаки на українські урядові сайти Державного казначейства, Державної служби з надзвичайних ситуацій, Кабінету міністрів, Міністерства закордонних справ, Міністерства спорту, Міністерства енергетики, Міністерства освіти і науки та багатьох інших, дослідники в галузі безпеки виявили характер використовуваного шкідливого ПЗ та метод за допомогою якого було пошкоджено системи.

Шкідливі програми типу ransomware працюють просто. Зловмисники отримують доступ до інфраструктури та встановлюють програму, яка шифрує дані, дозволяючи шахраям шантажувати. Щодня у світі діє безліч сімей програм-вимагачів, але всі вони працюють в основному однаково.

Як з’ясували спеціалісти компанії Microsoft, шкідлива програма, яка використовується в Україні, дуже схожа на програму-вимагача, але з розширеними руйнівними можливостями. По суті, зловмисники були зацікавлені тільки в тому, щоб вивести систему з ладу і унеможливити відновлення даних.

“Двоетапна шкідлива програма перезаписує головний завантажувальний запис (MBR) на системах жертв за допомогою запису з викупом (етап 1)”, – заявили Microsoft. “Шкідлива програма запускається, коли пристрій вимкнено. Перезапис MBR нетиповий для програм-вимагачів. Насправді, повідомлення про викуп — це хитрість, а шкідлива програма пошкоджує MBR і вміст файлів, на які вона націлена”.

З багатьох причин ймовірність того, що це була справжня атака з метою викупу, невисока. Наприклад, викуп вимагають у кожному конкретному випадку, а не однаково для всіх. Атаки з метою викупу не розраховані на такі масштаби і зловмисники не вказують адреси крипто-валютних гаманців у повідомленні про викуп. Крім того, друга версія шкідливої ​​програми вказує на її деструктивний характер.

“Stage2.exe – це програма-завантажувач для шкідливої ​​утиліти, що руйнує файли”, – повідомляє Microsoft. “Після виконання stage2.exe завантажує шкідливу програму, розміщену на каналі Discord, посилання на завантаження жорстко закодованн в завантажувачі. Руйнівник перезаписує вміст файлу фіксованим числом байт 0xCC (загальний розмір файлу 1 МБ). Після перезапису вмісту деструктор перейменовує кожен С, здавалося б, випадковим чотирибайтним розширенням. Після виконання в пам’яті деструктор знаходить файли в певних каталогах.

Схожа кампанія була в 2017 році з використанням ransomware-варіанту NotPetya, який торкнувся багатьох країн та установ. Він дотримувався того ж принципу, з модифікованим ransomware, призначеним для завдання максимальної шкоди.

Джерело Bitdefender

З питань придбання рішень Bitdefender звертайтесь до наших спеціалістів +380 (44) 383 4410 або sales@softico.ua.