A Microsoft afirma ter descoberto um ataque destrutivo a usuários ucranianos usando o limpador WhisperGate, que tentou se passar por um ransomware, mas na verdade não forneceu às vítimas opções de recuperação de dados.
Na verdade, a ameaça detectada é um limpador clássico, aquilo é, malware projetado para destruir deliberadamente dados em um host infectado.
Limpador WhisperGate
Esse malware geralmente é usado para mascarar outros ataques e remover evidências importantes de um hack, ou realizar sabotagem a fim de infligir o máximo dano à vítima e impedi-la de realizar suas atividades habituais, como foi o caso do Shamoon, Ataques NotPetya ou Bad Rabbit.
De acordo com a empresa, os ataques começaram em janeiro 13, e os sistemas afetados pertenciam a várias instituições estatais ucranianas, bem como organizações sem fins lucrativos e empresas de tecnologia da informação. Da mesma forma que os casos dos limpadores NotPetya e BadRabbit, o novo malware também vem com um componente que substitui o MBR e impede a inicialização de sistemas infectados.
Os pesquisadores ainda não conseguiram determinar o vetor de distribuição do malware, e, portanto, não está claro se o ataque afetou mais alguém além dos alvos ucranianos.
WhisperGate substitui a tela de inicialização normal por uma nota de resgate, que os pesquisadores dizem conter uma quantidade, um endereço bitcoin, e um Tox ID para entrar em contato com os invasores. Até aqui, nenhum pagamento foi feito ao carteira de criminosos.
No entanto, especialistas observam que é inútil pagar: mesmo que as vítimas consigam restaurar o MBR, o malware danifica deliberadamente arquivos com certas extensões, sobrescrevendo seu conteúdo com um número fixo de bytes 0xCC, trazendo o tamanho total do arquivo para 1 MB. As extensões afetadas estão listadas abaixo.
3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR . CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM . HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI . NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 . PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV . SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ . TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 . Arquivo WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP
Especialistas da Microsoft disseram que até agora, eles não conseguiram vincular esses ataques a nenhum grupo de hackers específico, e eles estão atualmente rastreando os invasores sob o ID DEV-0586.
Ataques a sites ucranianos
No final da semana passada, nós já escrevi que muitos sites ucranianos sofreram ataques cibernéticos e foram desfigurados.
Tal como afirmaram agora as autoridades ucranianas, Hackers russos são responsáveis por este ataque:
O ministério diz que o objetivo deste ataque é “não apenas para intimidar o público,” mas também “desestabilizar a situação na Ucrânia, fechando o sector público e minando a confiança no governo por parte dos ucranianos.”
Lembro-me também que relatei que Hackers de língua russa atacaram a infraestrutura governamental da Polônia.