Saltar al contenido

Microsoft: las empresas ucranianas están siendo atacadas por malware destructivo

enero 16, 2022
03NnAhfY7PETTCtIgI3vPr1 1.fit lim.size 1200x630.v1642360644

Microsoft informa que las organizaciones ucranianas están siendo atacadas por malware que se hace pasar por ransomware pero carece de la capacidad de recuperar datos incluso si las víctimas deciden pagar a los atacantes.

El informe se basa en la información recopilada por el Centro de inteligencia sobre amenazas de Microsoft (MSTIC), la Unidad de seguridad digital (DSU), el Equipo de detección y respuesta (DART) y el Equipo de inteligencia sobre amenazas de Microsoft 365 Defender. (Que no tiene siglas, por razones obvias). Microsoft dice que sus muchos equipos «están trabajando para crear e implementar detecciones para esta actividad».

«En la actualidad y según la visibilidad de Microsoft», dice la compañía en una publicación de blog sobre sus hallazgos, «nuestros equipos de investigación han identificado el malware en docenas de sistemas afectados y ese número podría crecer a medida que continúa nuestra investigación. Estos sistemas abarcan múltiples gobiernos, organizaciones sin fines de lucro y de tecnología de la información, todas con sede en Ucrania».

Actualmente, Microsoft está rastreando estos ataques como DEV-0586. La designación «DEV» indica que se trata de «un nombre temporal dado a un grupo desconocido, emergente o en desarrollo de actividad de amenaza, lo que permite que MSTIC lo rastree como un conjunto único de información hasta que alcancemos un alto nivel de confianza sobre el origen o la identidad». del actor detrás de la actividad», explica la compañía.

Se dice que el malware de DEV-0586 opera en dos etapas. La primera etapa del malware sobrescribe el Master Boot Record, que Microsoft describe como «la parte de un disco duro que le dice a la computadora cómo cargar su sistema operativo», con la siguiente nota de rescate:

Su disco duro ha sido dañado.

En caso de que quieras recuperar todos los discos duros

de su organización,

Debería pagarnos $ 10k a través de la billetera bitcoin

1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv y enviar mensaje a través de

identificación toxicológica 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65

con el nombre de su organización.

Nos pondremos en contacto contigo para darte más instrucciones.

«El malware se ejecuta cuando el dispositivo asociado se apaga», dice Microsoft. «Sobrescribir el MBR es atípico para el ransomware ciberdelincuente. En realidad, la nota del ransomware es una artimaña y el malware destruye el MBR y el contenido de los archivos a los que se dirige».

Microsoft dice que la segunda etapa del malware descarga lo que «se puede describir mejor como un corruptor de archivos maliciosos» de un canal Discord controlado por un atacante. Ese corruptor de archivos malicioso busca extensiones de archivos comunes «en ciertos directorios del sistema» y sobrescribe el contenido de esos archivos antes de cambiarles el nombre «con una extensión aparentemente aleatoria de cuatro bytes».

Recomendado por Nuestros Editores

La compañía aún está analizando el corruptor de archivos, pero ya actualizó Microsoft Defender Antivirus y Microsoft Defender para Endpoint para detectar esta familia de malware, que rastrea como «WhisperGate». También «continúa la investigación y compartirá actualizaciones significativas con los clientes afectados, así como con los socios del sector público y privado», a medida que obtenga más información.

Mientras tanto, Microsoft ha aconsejado a las empresas que habiliten la autenticación de múltiples factores para las cuentas que se pueden usar para acceder de forma remota a su infraestructura. Los usuarios de Microsoft Defender para Endpoint también pueden usar la función Acceso controlado a carpetas para «evitar MBR/[Volume boot record] modificación.» Hay más información disponible a través de la publicación del blog de la compañía.

«Dada la escala de las intrusiones observadas», dice la compañía, «MSTIC no puede evaluar la intención de las acciones destructivas identificadas, pero cree que estas acciones representan un riesgo elevado para cualquier agencia gubernamental, sin fines de lucro o empresa ubicada o con sistemas en Ucrania. Recomendamos encarecidamente a todas las organizaciones que realicen de inmediato una investigación exhaustiva e implementen defensas utilizando la información proporcionada en esta publicación».

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

close