Microsoft попереджає про нову, значно серйознішу загрозу для комп'ютерів багатьох українських організацій
Попередня атака на урядові сайти, найпевніше, була способом відвернути увагу від значно серйознішої загрози: десятки (сотні) комп'ютерів невказаних установ та організацій – як урядових, так і інших, також було атаковано, а важлива інформація на них знищена. Атаку маскують під ransomware (шифрування диску з подальшою вимогою викупу), однак вона такою не є – немає механізму відновлення файлів.
Топменеджер з кібербезпеки однієї з IT-фірм приватного сектора в Києві розповів Associated Press, як була здійснена атака: зловмисники проникли у державні мережі через спільного постачальника програмного забезпечення (найімовірніше, йдеться про той самий KitSoft, що постачає ПО на низку державних підприємств) у межах так званої атаки на ланцюжок постачання (у стилі російської кампанії кібершпигунства SolarWinds 2020 року на уряд США).
В іншому технічному дописі Microsoft заявила, що постраждалі системи «охоплюють низку державних, неприбуткових та інформаційно-технологічних організацій». Шкідливе програмне забезпечення міститься в різних робочих каталогах, включаючи C:\PerfLogs, C:\ProgramData, C:\ і C:\temp, і часто називається stage1.exe. Під час атаки переписується Master Boot Record жорсткого диска і з'являється повідомлення з вимогою викупу, але це повідомлення фальшиве – в цьому шкідливому ПЗ немає механізму відновлення знищених файлів. За інформацією Microsoft, компоненти шкідника спрацьовують після вимикання пристрою, що робить його додатково небезпечним.
Іншим компонентом атаки є файл з назвою stage2.exe, який завантажує з інтернету шкідливу програму, що незворотно пошкоджує найбільш популярні типи файлів, у тому числі з документами та зображеннями.
Детально про шкідливе ПО і що зробити, щоб йому запобігти, читайте у цьому дописів від Microsoft.
Найпевніше, що ця атака є одним із кіберкомпонентів у підготовці можливого нового нападу Росії та є невіддільною частиною сучасної «гібридної» війни.