A Microsoft Security publicou ontem um alerta assinado pelas suas quatro divisões por causa de um wiper descoberto em clientes da empresa na Ucrânia. Embora o vetor não tenha sido declarado, é razoável supor que esteja vindo por meio de campanhas de phishing. O alerta da empresa está sendo feito porque o comportamento do wiper e suas consequências são semelhantes ao do NotPetya, que em 27 de junho de 2017 atacou inicialmente a Ucrânia e num único dia se espalhou por 155 países, causando a destruição de sistemas. Esse é considerado até hoje o mais destrutivo dos ataques cibernéticos. Há indícios que levaram a comunidade de segurança a acredita que o ataque teve origem na Rússia.
Foram atingidos nesse ataque empresas como Mondelez, Merck, FedEx, Maersk. A contaminação foi descoberta em órgãos do governo, empresas de tecnologia da informação e organizações não-governamentais, todos na Ucrânia. No entanto, a Microsoft afirma que não sabe quantas outras vítimas podem existir na Ucrânia “ou em outras localizações geográficas (…) é improvável que esses sistemas impactados representem todo o escopo do impacto, conforme outras organizações estão relatando”.
O malware opera em duas etapas e entra em ação quando a máquina entra em shut down. Ele fica nos diretórios C:\PerfLogs, C:\ProgramData, C:\ e C:\temp, e geralmente tem o nome de stage1.exe. Ele regrava o MBR do disco, deixando uma tele com pedido de resgate e um ID do comunicador Tox para contato. A mensagem diz:
Your hard drive has been corrupted. In case you want to recover all hard drives of your organization, You should pay us $10k via bitcoin wallet 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65 with your organization name. We will contact you to give further instructions.
Na segunda etapa é baixado um módulo que destrói arquivos de 176 extensões diferentes, incluindo “.bkp”, por exemplo, sobrescrevendo-os com um megabyte de “0xCC”.
Veja isso
UE pune envolvidos nos ataques do WannaCry, NotPetya e OPCW
Fórum Econômico Mundial vê cyber como risco elevado
Neste momento, é tenso novamente o clima político entre Rússia e Ucrânia e portanto não se descarta que esteja havendo um ataque cibernético à Ucrânia. Há suposições de que os IPs dos atacantes estejam em Belarus, mas o jornalista Brian Krebs informou que a imagem usada no falso pedido de resgate tem origem possivelmente na Polônia.
A Microsoft informou que as técnicas usadas pelo malware podem ser mitigadas adotando-se as seguintes ações de segurança:
- Utilizar os indicadores de comprometimento para investigar se eles existem no ambiente e avaliar possíveis invasões (consulte o alerta da Microsoft para ver os IOCs).
- Revisar todas as atividades de autenticação para infraestrutura de acesso remoto, com foco específico em contas configuradas com autenticação de fator único, para confirmar a autenticidade e investigar qualquer atividade anômala.
- Habilitar a autenticação multifator (MFA) para mitigar credenciais potencialmente comprometidas e garantir que a MFA seja aplicada para toda a conectividade remota. OBSERVAÇÃO: a Microsoft recomenda que todos os clientes baixem e usem soluções sem senha, como o Microsoft Authenticator, para proteger as contas.
- Habilitar Controlled folder Access (CFA) no Microsoft Defender for Endpoint para impedir a modificação do MBR/VBR.
Este é o endereço do alerta da Microsoft
hxxps://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
Com agências de notícias internacionais