Microsoft descubrió el limpiador WhisperGate que atacaba a usuarios ucranianos

WhisperGate wiper

Microsoft dice que descubrió un ataque destructivo contra usuarios ucranianos utilizando el limpiador WhisperGate, que intentó hacerse pasar por un ransomware, pero en realidad no proporcionó a las víctimas opciones de recuperación de datos.

De hecho, la amenaza detectada es un limpiador clásico, eso es, malware diseñado para destruir deliberadamente datos en un host infectado.

Limpiaparabrisas WhisperGate

Este tipo de malware se suele utilizar para enmascarar otros ataques y eliminar pruebas importantes de un ataque., o realizar sabotajes con el fin de infligir el máximo daño a la víctima e impedirle realizar sus actividades habituales., como fue el caso del Shamoon, Ataques de NotPetya o Bad Rabbit.

Actualmente, Nuestros equipos de investigación han identificado malware en docenas de sistemas afectados., pero este número puede aumentar a medida que continúa la investigación..Los expertos de Microsoft dijeron.

Según la empresa, Los ataques comenzaron en enero. 13, y los sistemas afectados pertenecían a varias instituciones estatales ucranianas, así como organizaciones sin fines de lucro y empresas de tecnología de la información.. De manera similar a los casos de los limpiaparabrisas NotPetya y BadRabbit., El nuevo malware también viene con un componente que sobrescribe el MBR y evita que los sistemas infectados se inicien..

Los investigadores aún no han podido determinar el vector de distribución del malware., y por lo tanto no está claro si el ataque afectó a alguien más además de objetivos ucranianos..

WhisperGate reemplaza la pantalla de inicio habitual con una nota de rescate, que según los investigadores contiene una cantidad, una dirección bitcoin, y un Tox ID para contactar con los atacantes. Hasta ahora, no se han realizado pagos a la billetera de criminales.

Sin embargo, Los expertos señalan que es inútil pagar.: incluso si las víctimas logran restaurar el MBR, el malware daña deliberadamente archivos con ciertas extensiones, sobrescribiendo su contenido con un número fijo de bytes 0xCC, llevando el tamaño total del archivo a 1 MEGABYTE. Las extensiones afectadas se enumeran a continuación.

3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR . CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM . HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI . NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 . PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV . SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ . TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 . Archivo WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Los expertos de Microsoft lo han dicho hasta ahora., No han podido vincular estos ataques a ningún grupo de hackers específico., y actualmente están rastreando a los atacantes bajo el ID DEV-0586.

Ataques a sitios ucranianos

A finales de la semana pasada, nosotros ya escribí que muchos sitios ucranianos sufrieron ataques cibernéticos y fueron desfigurados.

Como han dicho ahora las autoridades ucranianas, Los hackers rusos son los responsables de este ataque:

Todas las evidencias apuntan a que Rusia está detrás de este ciberataque. Moscú continúa una guerra híbrida y está fortaleciendo activamente sus fuerzas en el ciberespacio y la información.- dijo el ministerio en un comunicado.

El ministerio dice que el objetivo de este ataque es «no sólo para intimidar al público,» pero también «desestabilizar la situación en Ucrania cerrando el sector público y socavando la confianza de los ucranianos en el gobierno.»

También recuerdo que informé que Hackers de habla rusa atacaron la infraestructura gubernamental de Polonia.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *