0
0
Na esteira dos desfigurações da semana passada em muitos sites do governo ucraniano, pesquisadores da Microsoft revelaram evidências de uma operação de malware direcionada a várias organizações na Ucrânia, implantando o que parece ser ransomware, mas na verdade é o malware do limpador Master Boot Records (MBR).
Os desfiguramentos
“Na noite de 13 a 14 de janeiro, vários sites do governo, incluindo o Ministério das Relações Exteriores, o Ministério da Educação e Ciência e outros, foram hackeados. Mensagens provocativas foram postadas na página principal desses sites. O conteúdo dos sites não foi alterado e o vazamento de dados pessoais, de acordo com informações preliminares, não ocorreu”, dissea Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA).
A equipe observou que é possível que os invasores tenham explorado o CVE-2021-32648, uma vulnerabilidade no CMS de outubro,para redefinir a senha da conta de administração e ter acesso a ela, permitindo que eles postassem as mensagens de provocação.
A operação de malware
No final da tarde de sábado, a Microsoft compartilhou informações e IOCs relacionados a um malware que tem como alvo organizações ucranianas.
De acordo com sua pesquisa, o malware apareceu pela primeira vez nos sistemas das vítimas em 13 de janeiro.
“As organizações afetadas por esse malware incluem agências governamentais que fornecem funções críticas do poder executivo ou de resposta a emergências e uma empresa de TI que gerencia sites para clientes do setor público e privado, incluindo agências governamentais cujos sites foram recentemente desfigurados”, observaramos pesquisadores.
“Não sabemos o estágio atual do ciclo operacional deste invasor ou quantas outras organizações de vítimas podem existir na Ucrânia ou em outras localidades geográficas. No entanto, é improvável que esses sistemas impactados representem todo o escopo de impacto, como outras organizações estão relatando.”
O malware – apelidado de WhisperGate – primeiro substitui o MBR nos sistemas de vítimas e exibe uma nota de resgate e, em seguida, executa quando o dispositivo alvo é desligado.
“O malware reside em vários diretórios de trabalho, incluindo C:\PerfLogs, C:\ProgramData, C:\, e C:\temp, e é frequentemente nomeado estágio1.exe. Nas invasões observadas, o malware executa via Impacket, um recurso disponível publicamente frequentemente usado por atores de ameaça para movimento lateral e execução”, compartilharam.
“Stage2.exe é um downloader para um malware corruptor de arquivos malicioso. Após a execução, o estágio2.exe baixa o malware de estágio seguinte hospedado em um canal Discord, com o link de download codificado no downloader.”
The “corrupter” locates files with a wide variety of file extensions and overwrites the contents of the file with a fixed number of 0xCC bytes.
Com base nos recursos e atividades do malware, bem como no conteúdo da nota do ransomware, os pesquisadores acreditam que os atacantes não fazem parte de uma gangue de ransomware de cibercriminosos.
A Microsoft notificou os clientes que foram alvos/comprometidos e estão aconselhando agências governamentais, organizações sem fins lucrativos e empresas localizadas ou com sistemas na Ucrânia a usar os IOCs fornecidos para investigar se seus sistemas e redes foram comprometidos.
Eles também pediram que eles revisassem todas as atividades de autenticação para infraestrutura de acesso remoto, para permitir o MFA para toda a conectividade remota e para habilitar o CFA (Controlled folder Access, acesso controlado) no Microsoft Defender for Endpoint (se eles o usarem) para evitar a modificação do MBR/VBR.
A Vx-underground também compartilhou amostras de malware.
Atribuição de ataque
Embora a Microsoft não tenha feito uma conexão definitiva entre essa atividade e um ator de ameaças previamente conhecido, a campanha de malware é evocativa dos ataques notPetya de 2017 contra empresas e entidades governamentais na Ucrânia e em todo o mundo, que foi atribuída por vários governos ocidentais aos militares russos, ou seja, a Equipe Sandworm – grupo de hackers que acredita-se ser parte da Unidade 74455 da Diretoria de Inteligência Principal russa (GRU).
Some-se a isso a atual situação geopolítica dentro e ao redor da Ucrânia, e parece lógico suspeitar que os atores de ameaça russos – patrocinados pela Federação Russa ou não – são a fonte dos ataques. Ainda assim, não há nenhuma evidência concreta até agora, de modo que permanece uma especulação.
FONTE: HELPNET SECURITY