Microsoft сообщает, что обнаружила деструктивную атаку на украинских пользователей: малварь WhisperGate пыталась выдать себя за шифровальщика, но на самом деле не предоставляла жертвам возможности восстановления данных.
WhisperGate
По сути, найденная угроза представляет собой классический вайпер (wiper, от английского to wipe — «стирать»), то есть малварь предназначенную для умышленного уничтожения данных на зараженном хосте. Подобные вредоносы, как правило, используются либо для маскировки других атак и удаления важных доказательств взлома, либо с целью осуществления саботажа, чтобы нанести максимальный ущерб жертве и не дать ей выполнять свою обычную деятельность, как это было с атаками Shamoon, NotPetya или Bad Rabbit.
«В настоящее время наши следственные группы выявили вредоносное ПО на десятках затронутых систем, но это число может вырасти по мере продолжения расследования», — сообщают эксперты Microsoft.
По информации компании, атаки начались 13 января, и пострадавшие системы принадлежали нескольким украинским государственным учреждениям, а также некоммерческим организациям и компаниями, занимающимся информационными технологиями. Как и в случае с вайперами NotPetya и BadRabbit, новая малварь тоже поставляется с компонентом, который перезаписывает MBR и препятствует загрузке зараженных систем.
Вектор распространения малвари исследователям пока определить не удалось, и поэтому неясно, затронула ли атака кого-либо еще, помимо украинских целей.
WhisperGate подменяет обычный загрузочный экран запиской с требованием выкупа, которая, по словам исследователей, содержит сумму, биткоин-адрес и идентификатор Tox ID для связи со злоумышленниками. Пока платежей в кошелек преступников не поступало.
Однако эксперты отмечают, что платить бесполезно: даже если жертвам удается восстановить MBR, малварь умышленно повреждает файлы с определенными расширениями, перезаписывая их содержимое фиксированным количеством байт 0xCC, доводя общий размер файла 1 Мб. Затронутые расширения перечислены ниже.
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW . YML-файл .ZIP
Эксперты Microsoft заявили, что пока им не удалось связать эти атаки с какой-либо конкретной хак-группой, и в настоящее время они отслеживают злоумышленников под идентификатором DEV-0586.
Атаки на украинские сайты
В конце прошлой недели мы уже писали о том, что множество украинских сайтов пострадали от кибератак и подверглись дефейсу.
Как теперь сообщили украинские власти, ответственность за эту атаку лежит на российских хакерах:
«Все доказательства указывают на то, что за этой кибератакой стоит Россия, — говорится в заявлении Минцифры. — Москва продолжает вести гибридную войну и активно наращивает силы в информационном и киберпространстве».
В министерстве говорят, что цель этой атаки «не только запугать общество», но и «дестабилизировать ситуацию в Украине путем остановки работы государственного сектора и подрыва доверия к власти со стороны украинцев».
Российская сторона эти обвинения отрицает. Так, секретарь президента Владимира Путина Дмитрий Песков сообщил CNN следующее:
«Мы не имеем к этому никакого отношения, и Россия не имеет никакого отношения к этим кибератакам. Мы почти привыкли к тому, что украинцы во всем обвиняют Россию, даже в плохой погоде».