Microsoft dice que descubrió un ataque destructivo contra usuarios ucranianos utilizando el limpiador WhisperGate, que intentó hacerse pasar por un ransomware, pero en realidad no proporcionó a las víctimas opciones de recuperación de datos.
De hecho, la amenaza detectada es un limpiador clásico, eso es, malware diseñado para destruir deliberadamente datos en un host infectado.
Limpiaparabrisas WhisperGate
Este tipo de malware se suele utilizar para enmascarar otros ataques y eliminar pruebas importantes de un ataque., o realizar sabotajes con el fin de infligir el máximo daño a la víctima e impedirle realizar sus actividades habituales., como fue el caso del Shamoon, Ataques de NotPetya o Bad Rabbit.
Según la empresa, Los ataques comenzaron en enero. 13, y los sistemas afectados pertenecían a varias instituciones estatales ucranianas, así como organizaciones sin fines de lucro y empresas de tecnología de la información.. De manera similar a los casos de los limpiaparabrisas NotPetya y BadRabbit., El nuevo malware también viene con un componente que sobrescribe el MBR y evita que los sistemas infectados se inicien..
Los investigadores aún no han podido determinar el vector de distribución del malware., y por lo tanto no está claro si el ataque afectó a alguien más además de objetivos ucranianos..
WhisperGate reemplaza la pantalla de inicio habitual con una nota de rescate, que según los investigadores contiene una cantidad, una dirección bitcoin, y un Tox ID para contactar con los atacantes. Hasta ahora, no se han realizado pagos a la billetera de criminales.
Sin embargo, Los expertos señalan que es inútil pagar.: incluso si las víctimas logran restaurar el MBR, el malware daña deliberadamente archivos con ciertas extensiones, sobrescribiendo su contenido con un número fijo de bytes 0xCC, llevando el tamaño total del archivo a 1 MEGABYTE. Las extensiones afectadas se enumeran a continuación.
3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR . CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM . HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI . NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 . PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV . SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ . TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 . Archivo WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP
Los expertos de Microsoft lo han dicho hasta ahora., No han podido vincular estos ataques a ningún grupo de hackers específico., y actualmente están rastreando a los atacantes bajo el ID DEV-0586.
Ataques a sitios ucranianos
A finales de la semana pasada, nosotros ya escribí que muchos sitios ucranianos sufrieron ataques cibernéticos y fueron desfigurados.
Como han dicho ahora las autoridades ucranianas, Los hackers rusos son los responsables de este ataque:
El ministerio dice que el objetivo de este ataque es «no sólo para intimidar al público,» pero también «desestabilizar la situación en Ucrania cerrando el sector público y socavando la confianza de los ucranianos en el gobierno.»
También recuerdo que informé que Hackers de habla rusa atacaron la infraestructura gubernamental de Polonia.
