Microsoft detecta malware destrutivo usado em ataque cibernético contra a Ucrânia; projetado para se parecer com ransomware

A Microsoft alertou sobre um novo malware destrutivo que foi usado no ataque cibernético contra o governo da Ucrânia, ocorrido na semana passada. Descrito como um possível limpador de Master Boot Record (MBR), a empresa diz que o malware foi projetado para se parecer com um ransomware, mas sem um mecanismo de recuperação de resgate.

Em outras palavras, o malware limpa arquivos de dados em diretórios selecionados no computador da vítima em vez de criptografá-los. Ou seja, sendo destrutivo e projetado para tornar os dispositivos direcionados inoperantes, em vez de servir como instrumento de sequestro.

Leia também:

• Ucrânia acusa oficialmente a Rússia por ataque cibernético
• Hackers podem derrubar um governo? Na Bielorússia ativistas estão tentando; especialistas respondem
• Gangue é presa na Ucrânia por ataques de ransomware a empresas estrangeiras

A Microsoft informou que suas equipes de investigação identificaram o malware em dezenas de sistemas afetados “e esse número pode crescer à medida que nossa investigação continua”. Conforme aponta a empresa, esses sistemas abrangem várias organizações governamentais, sem fins lucrativos e de tecnologia da informação, todas sediadas na Ucrânia.

Apesar da empresa de tecnologia dizer que não encontrou nenhuma associação notável entre a atividade observada e outros grupos de ameaças conhecidos, a Ucrânia afirma ter evidências de que a Rússia está por trás dos ataques.

“Não sabemos o estágio atual do ciclo operacional desse invasor ou quantas outras organizações de vítimas podem existir na Ucrânia ou em outras localizações geográficas. No entanto, é improvável que esses sistemas impactados representem todo o escopo do impacto conforme outras organizações estão relatando”, apontou a Microsoft em sua publicação.

Falso pedido de resgate

Como a Microsoft relata, o malware exibe o que parece ser um pedido de resgate na inicialização. A mensagem afirma que o disco rígido foi corrompido e solicita pagamento em criptomoedas com o nome da organização.

No entanto, o pedido de resgate é falso. O malware – que a Microsoft está chamando de WhisperGate – limpa arquivos de dados em diretórios selecionados no computador da vítima em vez de criptografá-los.

Em seguida, arquivos com uma gama de extensões diversas, incluindo .backup, .config, .docx, .html, .java, .jpeg, .php, .txt, .xls, .zip e muitos outros, são substituídos por 1 MB de caracteres “Ì” (0xcc em hexadecimal). Além disso, os arquivos substituídos são renomeados com uma extensão de quatro caracteres aparentemente aleatória.

O Centro de Inteligência de Ameaças da Microsoft (MSTIC) compartilhou táticas, técnicas e procedimentos (TTPs), juntamente com indicadores de comprometimento (IOC) relacionados aos ataques. Sem poder atribuir as ações danosas a nenhum agente de ameaça específico, a Microsoft está rastreando as atividades hacker como DEV-0586.

Com a escalada das tensões geopolíticas na região entre a Rússia e a Ucrânia, acredita-se que esses ataques visam semear o caos no país ucraniano. Segundo Serhiy Demedyuk, vice-secretário do Conselho de Segurança e Defesa Nacional do país do leste europeu, a desfiguração dos sites foi apenas uma cobertura para ações mais destrutivas, cujas consequências serão sentidas em um futuro próximo.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!