Microsoft ha informado de que organizaciones ucranianas están siendo objetivo de un malware que se hace pasar por ransomware, aunque cuando las víctimas pagan los rescates no puede recuperar los datos.
El informe se basa en la información recogida por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), la Unidad de Seguridad Digital (DSU), el Equipo de Detección y Respuesta (DART) y el Equipo de Inteligencia de Amenazas de Microsoft 365 Defender. "Nuestros equipos de investigación han identificado el malware en docenas de sistemas impactados y ese número podría crecer a medida que nuestra investigación continúa.
Estos sistemas abarcan múltiples organizaciones gubernamentales, sin ánimo de lucro y de tecnología de la información, todas ellas con sede en Ucrania", han explicado desde la empresa en un post en su blog.
Cómo funciona este malware
Microsoft está siguiendo estos ataques como DEV-0586. La designación "DEV" indica que se trata de "un nombre temporal dado a una actividad de amenaza desconocida, emergente o en desarrollo". Se dice que el malware de DEV-0586 funciona en dos etapas. La primera etapa del malware sobrescribe el Master Boot Record, que Microsoft describe como "la parte de un disco duro que indica al ordenador cómo cargar su sistema operativo", con la siguiente nota de rescate:
Su disco duro ha sido corrompido.
En caso de que quiera recuperar todos los discos duros de su organización, debe pagarnos 10 mil dólares a través de la cartera de bitcoin 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv y enviar el mensaje a través de tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65 con el nombre de su organización.
Nos pondremos en contacto con usted para darle más instrucciones.
Dice Microsoft que el malware se ejecuta cuando el dispositivo asociado se apaga. "Sobrescribir el MBR es atípico para el ransomware de los ciberdelincuentes. En realidad, la nota del ransomware es una treta y que el malware destruye el MBR y el contenido de los archivos a los que se dirige."
Microsoft ha explicado que la segunda etapa del malware descarga lo que "puede describirse como un corruptor de archivos maliciosos" desde un canal de Discord controlado por el atacante. Ese corruptor de archivos malicioso busca extensiones de archivos comunes "en ciertos directorios del sistema" y sobrescribe el contenido de esos archivos antes de renombrarlos "con una extensión de cuatro bytes aparentemente aleatoria".
La compañía todavía está analizando el corruptor de archivos, pero ya ha actualizado Microsoft Defender Antivirus y Microsoft Defender for Endpoint para detectar esta familia de malware, a la que está siguiendo como "WhisperGate.
Microsoft ha aconsejado a las empresas que habiliten la autenticación multifactor para las cuentas que puedan utilizarse para acceder de forma remota a su infraestructura. Los usuarios de Microsoft Defender for Endpoint también pueden utilizar la función de acceso controlado a carpetas para "evitar la modificación del MBR/[Volume boot record]".
Un momento crítico en Ucrania que podría ser clave en Europa
Estamos viviendo un momento clave en Europa: se está gestando un conflicto en Ucrania y hay quienes están hablando de que estamos ahora más cerca de una guerra en nuestro continente que nunca antes en décadas. Las malas relaciones entre Rusia y Ucrania tienen influencia a nivel internacional.
Los ataques que están viviendo masivamente equipos informáticos de Ucrania podría estar relacionado con este grave problema. De hecho, hace tres días páginas web del gobierno ucraniano fueron alteradas en medio de esta amenaza de invasión rusa y se cree que se ha filtrado información personal de los ciudadanos locales. Un grupo de hackers desactivó varios sitios web del gobierno ucraniano con amenazas, incluyendo las palabras "tened miedo y esperad lo peor".
Los piratas informáticos vambiaron las páginas de inicio del Ministerio de Asuntos Exteriores de Ucrania, el Ministerio de Educación y Ciencia y otras clave con un cartel que advertía a los ciudadanos locales que sus datos personales habían sido filtrados. "¡Ucranianos! Todos sus datos personales han sido subidos a la red pública", decía el mensaje, que estaba escrito en ruso, ucraniano y polaco.
Ver 7 comentarios