pixabay

Ataque à Ucrânia pode repetir caos global de 2017

Paulo Brito
16/01/2022

A Microsoft Security publicou ontem um alerta assinado pelas suas quatro divisões por causa de um wiper descoberto em clientes da empresa na Ucrânia. Embora o vetor não tenha sido declarado, é razoável supor que esteja vindo por meio de campanhas de phishing. O alerta da empresa está sendo feito porque o comportamento do wiper e suas consequências são semelhantes ao do NotPetya, que em 27 de junho de 2017 atacou inicialmente a Ucrânia e num único dia se espalhou por 155 países, causando a destruição de sistemas. Esse é considerado até hoje o mais destrutivo dos ataques cibernéticos. Há indícios que levaram a comunidade de segurança a acredita que o ataque teve origem na Rússia.

Foram atingidos nesse ataque empresas como Mondelez, Merck, FedEx, Maersk. A contaminação foi descoberta em órgãos do governo, empresas de tecnologia da informação e organizações não-governamentais, todos na Ucrânia. No entanto, a Microsoft afirma que não sabe quantas outras vítimas podem existir na Ucrânia “ou em outras localizações geográficas (…) é improvável que esses sistemas impactados representem todo o escopo do impacto, conforme outras organizações estão relatando”.

O malware opera em duas etapas e entra em ação quando a máquina entra em shut down. Ele fica nos diretórios C:\PerfLogs, C:\ProgramData, C:\ e C:\temp, e geralmente tem o nome de stage1.exe. Ele regrava o MBR do disco, deixando uma tele com pedido de resgate e um ID do comunicador Tox para contato. A mensagem diz:

Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.

Na segunda etapa é baixado um módulo que destrói arquivos de 176 extensões diferentes, incluindo “.bkp”, por exemplo, sobrescrevendo-os com um megabyte de “0xCC”.

Veja isso
UE pune envolvidos nos ataques do WannaCry, NotPetya e OPCW
Fórum Econômico Mundial vê cyber como risco elevado

Neste momento, é tenso novamente o clima político entre Rússia e Ucrânia e portanto não se descarta que esteja havendo um ataque cibernético à Ucrânia. Há suposições de que os IPs dos atacantes estejam em Belarus, mas o jornalista Brian Krebs informou que a imagem usada no falso pedido de resgate tem origem possivelmente na Polônia.

A Microsoft informou que as técnicas usadas pelo malware podem ser mitigadas adotando-se as seguintes ações de segurança:

  • Utilizar os indicadores de comprometimento para investigar se eles existem no ambiente e avaliar possíveis invasões (consulte o alerta da Microsoft para ver os IOCs).
  • Revisar todas as atividades de autenticação para infraestrutura de acesso remoto, com foco específico em contas configuradas com autenticação de fator único, para confirmar a autenticidade e investigar qualquer atividade anômala.
  • Habilitar a autenticação multifator (MFA) para mitigar credenciais potencialmente comprometidas e garantir que a MFA seja aplicada para toda a conectividade remota.  OBSERVAÇÃO: a Microsoft recomenda que todos os clientes baixem e usem soluções sem senha, como o Microsoft Authenticator, para proteger as contas.
  • Habilitar Controlled folder Access (CFA) no Microsoft Defender for Endpoint para impedir a modificação do MBR/VBR.

Este é o endereço do alerta da Microsoft
hxxps://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

Com agências de notícias internacionais

Compartilhar: