Microsoft upozorňuje na nový deštruktívny malvér, ktorý vo veľkom vyčíňa u našich susedov!
Najnovší malvér dostal označenie Whispergate. Údajne ide o nový typ ransomvéru, no bližší pohľad na technicky útočníkov to vyvracajú.
Spoločnosť Microsoft upozorňuje (via ArsTechnica.com) na najnovší typ kybernetického útoku, ktorý zasiahol viaceré ukrajinské organizácie. Viaceré vládne agentúry no aj iné organizácie zaznamenali v posledných dňoch masívne útoky prostredníctvom nového malvéru s názvom Whispergate. Microsoft Threat Intelligence Center (MSTIC) upozorňuje, že ide o nový typ deštruktívneho malvéru. Whispergate sa síce tvári ako bežný ransomvér, s ktorými sa v posledných rokoch roztrhlo vrece, no vo svojej podstate ide čisto o deštruktívny nástroj na ničenie hardvéru a uložených dát.
Ešte horší, ako zlomyseľný ransomvér
Prvé náznaky nového malvéru sa v systémoch obetí objavili už 13. januára 2022. Krátko potom nastalo zo strany MSTIC vyšetrovanie tohto dovtedy neznámeho škodlivého softvéru. Hrozba pôvodne označená ako DEV-0586 neskôr obdržala označenie Whispergate. Jej podstatou je úplné znefunkčnenie cieľových zariadení a odstránenie dát z pamäťových úložísk. Útočníci síce na kompromitovaných zariadeniach požadujú výkupné 10 000 dolárov v kryptomene Bitcoin za opätovné sprístupnenie zašifrovaných dát, no vyšetrovanie spoločnosti Microsoft ukázalo, že ide iba o bezvýznamnú frázu útočníkov.
„Všetky údaje v počítači sa ničia, nie je možné ich obnoviť,“ uvádza sa v správe napísanej v ukrajinčine, ruštine a poľštine, ktorá sa objavila koncom minulého týždňa aspoň na niektorých infikovaných systémoch. „Všetky informácie o tebe sa stali verejnými, boj sa a očakávaj to najhoršie.“
Obnovenie údajov na napadnutých zariadeniach totižto nie je možné hneď z viacerých dôvodov. Prvým je, že samotný malvér nemá prostriedky a funkcionality na distribúciu dešifrovacích kľúčov. Druhým dôvodom je chýbajúca „technická podpora“ pre obete malvéru, na ktorú sa musia obrátiť po napadnutí ich zariadenia. Poslednou a zrejme najzásadnejšou prekážkou je fakt, že útočníci prepisujú aj hlavný tzv. master boot record. V skratke ide o hlavný spúšťací záznam, ktorému BIOS po zapnutí zariadenia odovzdáva riadenie systému.
„Prepisovanie MBR je atypické pre kyberzločinecký ransomvér,“ napísali v sobotňajšom príspevku členovia centra Microsoft Threat Intelligence Center. „V skutočnosti je poznámka o ransomvéri lesť a malvér ničí MBR a obsah súborov, na ktoré sa zameriava. Existuje niekoľko dôvodov, prečo je táto aktivita v rozpore s kyberzločineckými ransomvérovými aktivitami, ktoré pozoroval MSTIC.“
Za útokom má stáť bieloruská hackerská organizácia
Pochopiteľne, krátko po odhalení hrozby začali vyšetrovanie aj ukrajinské štátne agentúry zamieravajúce sa na kybernetickú bezpečnosť. Pomerne krátko po samotných útokoch informoval médiá aj zástupca šéfa ukrajinskej Rady národnej bezpečnosti a obrany, Serhiy Demedyuk. Ten vo vyhlásenú uviedol, že predbežné zistenia ukazujú prstom na známu hackerskú skupinu UNC1151. Skupina podľa bezpečnostných výskumníkov operuje z Bieloruska a už v minulosti stála za viacerými masívnymi hackerskými útokmi.
Neprehliadnite
Ukrajina vs Rusko
Po predbežnom identifikovaní pôvodcu sa ukrajinská vláda uchýlila k záveru, že za nedávnymi útokmi stojí Rusko. Cieľom Ruska je podľa ukrajinských predstaviteľov ešte viac destabilizovať krajinu a vyvolať paniku medzi obyvateľmi. Vláda však vo svojom vyhlásení občanov ubezpečila, že ich citlivé údaje nie sú ohrozené a nedošlo ku ich odcudzeniu či zneužitiu. Celé vyhlásenie nájdete priamo na vládnych stránkach Ukrajiny.
Komentáre