Według badaczy z ESET tysiące komputerów na Ukrainie zostało zainfekowanych złośliwym oprogramowaniem, które niszczy dane w komputerach z systemem Windows.
Firma zajmująca się cyberbezpieczeństwem przeanalizowała pobrane próbki i uważa, że nad kodem pracowano przez ostatnie dwa miesiące. „Znacznik czasowy kompilacji PE jednej z próbek to 2021-12-28, co sugeruje, że atak mógł być przygotowywany od prawie dwóch miesięcy”. „Telemetria ESET pokazuje, że oprogramowanie zostało zainstalowane na setkach maszyn w kraju” – stwierdziła firma. Narzędzie do czyszczenia danych jest podpisane kryptograficznie za pomocą legalnego i prawdopodobnie skradzionego certyfikatu programisty, aby przekonać narzędzia antywirusowe i użytkowników, że jest to zaufana aplikacja. Według firmy ESET złośliwe oprogramowanie wykorzystuje sterowniki z programu do partycjonowania, aby uszkadzać urządzenia pamięci masowej i niszczyć pliki w zainfekowanych systemach.
ESET natknął się na oprogramowanie, które rozprzestrzenia się na terytorium Ukrainy. Złośliwy kod ma za zadanie usuwać dane z dysków, a jednocześnie niszczy MBR, utrudniając, lub uniemożliwiając odzyskiwanie. To kolejny element działań Kremla.
W tej chwili nie jest do końca jasne, w jaki sposób złośliwe oprogramowanie jest umieszczane na komputerach ofiar i uruchamiane, chociaż w jednym przypadku, jak powiedział ESET, serwer Active Directory jednej z organizacji został prawdopodobnie zinwigilowany w celu dystrybucji złośliwego oprogramowania przez sieć. Dział analizy zagrożeń firmy Symantec poinformował, że wykryto złośliwe oprogramowanie niszczące dane nie tylko na Ukrainie, ale infekcje były również widoczne na Łotwie i Litwie. ESET nazwał nazwę oprogramowaniu i występuje ono jako Win32/KillDisk.NCV. Kod nie tylko usuwa pliki z dysku, ale także niszczy MBR, utrudniając lub uniemożliwiając późniejsze uruchamianie i odzyskiwanie.
Rozpowszechnianie tego typu złośliwego oprogramowania jest elementem prowadzonych przez Rosję działań wojennych. Różne ukraińskie strony internetowe przestają odpowiadać, a brytyjskie National Cyber Security Center ostrzegło przed nową odmianą złośliwego oprogramowania powiązanego z Kremlem, które wydaje się być niezależne od tego wykrytego przez ESET. W odpowiedzi na rosyjskie cyberataki, grupa hakerów znana jako Anonymous uderzyła w infrastrukturę internetową Rosji.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS