Служби безпеки Microsoft повідомили, що зловмисне програмне забезпечення вперше з’явилося в системах жертв в Україні 13 січня.
Microsoft заявила, що виявила руйнівне зловмисне програмне забезпечення, яке використовується для пошкодження систем кількох організацій в Україні. У блозі, опублікованому в суботу , Microsoft Threat Intelligence Center (MSTIC) повідомив, що вперше виявив зловмисне програмне забезпечення, подібне до програм-вимагачів, 13 січня.
Ця новина з’явилася через кілька днів після того , як понад 70 українських урядових веб-сайтів були пошкоджені групами, імовірно пов’язаними з російськими спецслужбами. Але Microsoft заявила, що «не знайшла жодних помітних асоціацій» між знайденим шкідливим програмним забезпеченням та атаками на веб-сайти, які відбулися минулого тижня.
«MSTIC оцінює, що зловмисне програмне забезпечення, яке створено так, щоб виглядати як програма-вимагач, але не має механізму відновлення після сплати викупу, воно є руйнівним і призначене для того, щоб зробити непрацездатними цільові пристрої, а не для отримання викупу», — пояснили в Microsoft.
«Наразі та на основі даних Microsoft наші слідчі групи виявили зловмисне програмне забезпечення в десятках уражених систем, і ця кількість може зростати в міру продовження нашого розслідування. Ці системи охоплюють декілька державних, некомерційних та інформаційно-технологічних організацій, які базуються в Україні. Ми не знаємо поточного етапу операційного циклу цього зловмисного ПЗ або того, скільки інших організацій-жертв може існувати в Україні чи інших географічних місцях. Проте, малоймовірно, що ці системи відображають повний масштаб впливу, як повідомляють інші організації».
У Microsoft додали, що досі незрозуміло, яка мета зловмисного програмного забезпечення, але заявили, що всі українські державні установи, некомерційні організації та компанії повинні шукати його в своїх системах.
Вони сказали, що спочатку здавалося, що це можлива діяльність Wiper Master Boot Records (MBR), і назвали можливості зловмисного програмного забезпечення «унікальними».
Шкідливе програмне забезпечення виконується через Imppacket і перезаписує MBR в системі з повідомленням про викуп із вимогою 10 000 доларів США в біткойнах. Щойно пристрій вимикається, зловмисне програмне забезпечення запускається. Microsoft заявила, що для кіберзлочинців-вимагачів «нетипово» перезаписувати MBR.
Незважаючи на те, що вмикається повідомлення про викуп, це, згідно з аналізом Microsoft, є хитрістю. Зловмисне програмне забезпечення знаходить файли в певних каталогах з десятками найпоширеніших розширень файлів і перезаписує вміст фіксованою кількістю байтів 0xCC. Після перезапису вмісту деструктор перейменовує кожен файл із, здавалося б, випадковим чотирибайтовим розширенням, пояснила Microsoft.
Microsoft заявила, що такий вид атаки «несумісний із діяльністю кіберзлочинних програм-вимагачів», які вони спостерігали, оскільки зазвичай корисні навантаження програм-вимагачів налаштовуються для кожної жертви.
«У цьому випадку у кількох жертв спостерігалося однакове корисне навантаження з викупом. Практично всі програми-викупи шифрують вміст файлів у файловій системі. Зловмисне програмне забезпечення в цьому випадку перезаписує MBR без механізму відновлення. Точні суми платежів та адреси гаманців криптовалют рідко зустрічаються в сучасних кримінальних повідомленнях про викуп, але були вказані в DEV-0586», – пояснили в Microsoft.
Більшість повідомлень про викуп містить користувацький ідентифікатор, через який жертва отримує інструкції щоб надіслати свої повідомлення зловмисникам. Це важлива частина процесу, коли користувацький ідентифікатор з’єднується на серверній частині операції вимагача з специфічним для жертви ключем дешифрування. У цьому ж випадку повідомлення про викуп не містить користувацького ідентифікатора.
Корпорація Майкрософт додала, що знаходиться в процесі створення виявлення зловмисного програмного забезпечення і надала список рекомендацій щодо безпеки для організацій, які могли бути цільовими.
Рік Холланд, CISO в Digital Shadows, сказав ZDNet, що, хоча Microsoft не приписує цю діяльність Росії, пов’язати ці зловмисні дії з російськими інтересами не є значним аналітичним зусиллям.
За його словами, хитрість із програмним забезпеченням-вимагачем надає учаснику загрози тонкий шар правдоподібності, але, як стверджує Microsoft, повний масштаб кампанії неясний.
“Зловмисницькі програми-вимагачі не будуть єдиним варіантом, доступним для зловмисника. Якщо озирнутися на сторонні атаки, як-от минулорічний SolarWinds, ви можете побачити кампанії подібного стилю, де зловмисники проводили роки непоміченими в українських мережах жертв”, – сказав Холланд.
«Ця діяльність не є безпрецедентною; вона є частиною російської доктрини. Незалежно від того, чи заохочує Росія інших хакерів, чи сама керує кіберопераціями, Росія прагне зруйнувати урядові та приватні інституції своїх геополітичних опонентів. Ми бачили подібні кейси у кібератаках 2007 року проти Естонії, кібератаках під час анексії Криму в 2014 році, атаках Petya та MeDoc проти України в 2017 році».
Холланд зазначив, що процес відновлення за допомогою руйнівного зловмисного програмного забезпечення є складним і часто може залежати від засобів контролю безпеки, які діяли до атаки. Він оцінив, що для відновлення постраждалих організацій можуть знадобитися від кількох днів до тижнів, пояснивши, що Saudi Aramco знадобилося більше тижня, щоб відновитися від Shamoon у 2012 році, а українським організаціям знадобилося більше тижня, щоб відновитися від NotPetya.
Джон Бамбенек з Netenrich повторив зауваження Холланда, сказавши, що Росія раніше використовувала програмне забезпечення-вимагач як прикриття для деструктивних атак у минулому.
«Типовий прийом Росії полягає в тому, щоб залишити достатньо невизначеності, щоб публічно заявити, що це були не вони, але залишити достатньо відбитків пальців, щоб усі присутні знали, що вони можуть атакувати інші країни регіону. Відновлення залежить від кожного суб’єкта, але Україна має довгу історію реагування та відновлення після диверсійних атак з боку Росії», – сказав Бамбенек.
