Microsoft: поддельные программы-вымогатели нацелены на Украину в атаках с очисткой данных

Microsoft предупреждает о деструктивном вредоносном ПО для удаления данных, замаскированном под программу-вымогатель, которое используется в атаках на несколько организаций в Украине. Начиная с 13 января, Microsoft обнаружила новые атаки, в которых деструктивный MBRLocker сочетался с вредоносным ПО, разрушающим данные, которое использовалось для преднамеренного уничтожения данных.

Двухэтапная атака уничтожает данные

Microsoft называет это новое семейство вредоносных программ «WhisperGate» и поясняет в отчете, что оно осуществляется с помощью двух разных компонентов вредоносного ПО.

Первый компонент с именем stage1.exe запускается из папок C:\PerfLogs, C:\ProgramData, C:\ или C:\temp и перезаписывает основную загрузочную запись для отображения примечания о выкупе.

Блокировщик MBR — это программа, которая заменяет «основную загрузочную запись», место на жестком диске компьютера, содержащее информацию о разделах диска и небольшой исполняемый файл, используемый для загрузки операционной системы.

Блокировщики MBR заменяют загрузчик в основной загрузочной записи программой, которая обычно шифрует таблицу разделов и отображает примечание о выкупе. Это предотвращает загрузку операционной системы и доступ к данным до тех пор, пока не будет выплачен выкуп и не будет получен ключ дешифрования.

В примечании о выкупе от WhisperGate, показанном ниже, жертве предлагается отправить 10000 долларов в биткойнах на адрес 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv, а затем связаться с злоумышленниками через включенный идентификатор чата Tox.

Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.

В то время как Microsoft указывает на использование Tox как на причину того, что программа-вымогатель является подделкой, BleepingComputer знает о многочисленных операциях программы-вымогателя, использующих Tox в качестве метода связи, так что это не является чем-то необычным.

Однако примечание о выкупе MBRLocker использует один и тот же биткойн-адрес для всех жертв и не предоставляет способ ввода ключа дешифрования. В сочетании это обычно указывает на фальшивую программу-вымогатель.

Второй компонент с именем stage2.exe выполняется одновременно для загрузки разрушающего данные вредоносного ПО с именем Tbopbh.jpg, размещенного на Discord, которое перезаписывает целевые файлы статическими данными.

«Если файл имеет одно из вышеперечисленных расширений, средство повреждения перезаписывает содержимое файла фиксированным числом байтов 0xCC (общий размер файла 1 МБ)», — поясняется в отчете Microsoft.

«После перезаписи содержимого деструктор переименовывает каждый файл с, казалось бы, случайным четырехбайтным расширением».

Расширения файлов, на которые нацелен компонент stage2 для повреждения:

The file extensions targeted by the stage2 component for corruption are:

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Поскольку ни один из двух компонентов вредоносного ПО не предлагает средств для ввода ключей дешифрования для восстановления исходной основной загрузочной записи, а файлы перезаписываются статическими нешифруемыми данными, Microsoft классифицирует это как деструктивную атаку, а не как атаку, используемую для получения выкупа.

Индикаторы компрометации и ссылки для скачивания образцов вредоносного ПО можно найти в разделе IOC далее в статье.

Microsoft не может приписать атаки какому-либо конкретному субъекту угрозы и отслеживает действия хакера как DEV-0586.

В связи с обострением геополитической напряженности в регионе между Россией и Украиной считается, что эти атаки призваны посеять хаос в Украине. Аналогичная атака была проведена в 2017 году, когда тысячи украинских предприятий были атакованы программой-вымогателем NotPetya.

Хотя NotPetya был основан на реальной программе-вымогателе, известной как Petya, атаки NotPetya проводились как кибероружие против Украины, а не для получения платежей.

В 2020 году США официально предъявили обвинения российским хакерам ГРУ, которые, как считается, являются частью элитной российской хакерской группы, известной как «Sandworm», в атаках NotPetya.

Украина в осаде кибератак

На этой неделе не менее пятнадцати веб-сайтов украинских государственных учреждений и госорганов были взломаны, и впоследствии отключены. Хакеры взломали эти веб-сайты, чтобы показать посетителям сообщение, предупреждающее о том, что их данные были украдены и опубликованы в Интернете.

«Украинец! Все ваши личные данные выложены в сеть общего пользования. Все данные на компьютере уничтожены, восстановить их невозможно. Вся информация о вас стала общедоступной, бойтесь и ждите худшего. Это за ваше прошлое, настоящее и будущее. За Волынь, за ОУН-УПА, за Галицию, за Полесье и за исторические земли», — говорится в сообщении.

В рамках этой кампании запугивания, злоумышленники создали новые учетные записи на популярном хакерском форуме RaidForums, чтобы раскрыть якобы украденные данные. Однако злоумышленники, ознакомившиеся с опубликованными данными, говорят, что они не имеют отношения к госорганам Украины и содержат данные из старой утечки.