MICROSOFT DETECTOU MALWARE DESTRUTIVO USADO EM ATAQUE CIBERNÉTICO CONTRA A UCRÂNIA QUE FOI PROJETADO PARA SER IDÊNTICO A RANSOMWARE

A Microsoft alertou sobre um novo malware destrutivo que foi usado no ataque cibernético contra o governo da Ucrânia, ocorrido na semana passada. Descrito como um possível limpador de Master Boot Record (MBR), a empresa diz que o malware foi projetado para se parecer com um ransomware, mas sem um mecanismo de recuperação de resgate. Em outras palavras, o malware limpa arquivos de dados em diretórios selecionados no computador da vítima em vez de criptografá-los, ou seja, sendo destrutivo e projetado para tornar os dispositivos direcionados inoperantes, em vez de servir como instrumento de sequestro. 

A Microsoft informou que suas equipes de investigação identificaram o malware em dezenas de sistemas afetados "e esse número pode crescer à medida que nossa investigação continua”. Conforme aponta a empresa, esses sistemas abrangem várias organizações governamentais, sem fins lucrativos e de tecnologia da informação, todas sediadas na Ucrânia. 

Apesar da empresa de tecnologia dizer que *não encontrou nenhuma associação notável entre a atividade observada e outros grupos de ameaças conhecidos, a Ucrânia afirma ter evidências de que a Rússia está por trás dos ataques. “Não sabemos o estágio atual do ciclo operacional desse invasor ou quantas outras organizações de vítimas podem existir na Ucrânia ou em outras localizações geográficas. No entanto, é improvável que esses sistemas impactados representem todo o escopo do impacto conforme outras organizações estão relatando”, apontou a Microsoft.

Como seria o pedido de resgate?

Como a Microsoft relata, o malware exibe o que parece ser um pedido de resgate na inicialização. A mensagem afirma que o disco rígido foi corrompido e solicita pagamento em criptomoedas com o nome da organização.

No entanto, o pedido de resgate é falso. O malware – que a Microsoft está chamando de WhisperGate – limpa arquivos de dados em diretórios selecionados no computador da vítima em vez de criptografá-los. Em seguida, arquivos com uma gama de extensões diversas, incluindo .backup, .config, .docx, .html, .java, .jpeg, .php, .txt, .xls, .zip e muitos outros, são substituídos por 1 MB de caracteres “Ì” (0xcc em hexadecimal). Além disso, os arquivos substituídos são renomeados com uma extensão de quatro caracteres aparentemente aleatória.

O Centro de Inteligência de Ameaças da Microsoft (MSTIC) compartilhou táticas, técnicas e procedimentos (TTPs), juntamente com indicadores de comprometimento (IOC) relacionados aos ataques. Sem poder atribuir as ações danosas a nenhum agente de ameaça específico, a Microsoft está rastreando as atividades hacker como DEV-0586. 

Com a escalada das tensões geopolíticas na região entre a Rússia e a Ucrânia, acredita-se que esses ataques visam semear o caos no país ucraniano. Segundo Serhiy Demedyuk, vice-secretário do Conselho de Segurança e Defesa Nacional do país do leste europeu, a desfiguração dos sites foi apenas uma cobertura para ações mais destrutivas, cujas consequências serão sentidas em um futuro próximo.