16-01-2022 16:183053
Центр розвідки загроз Microsoft (MSTIC) виявив замасковане під програми-здирники шкідливе програмне забезпечення, яке використовувалося при хакерській атаці на урядові мережі України.
Програма втрутилася у роботу жорстких дисків заражених пристроїв, повідомляє УП із посиланням на Microsoft.
Як зазначають, у компанії вперше виявили це шкідливе програмне забезпечення 13 січня 2022 року. Воно замасковане під програму-вимагач, проте призначене не для отримання вигоди, а для виведення з ладу пристроїв, на які націлене.
Шкідливе ПЗ уже виявили у десятках постраждалих систем, проте їх кількість може збільшитися під час продовження розслідування.
У переліку заражених – системи державних органів, некомерційних організацій та інформаційно-технологічних компаній в Україні.
У Microsoft додали, що поки не знайшли значної схожості хакерів, які атакували Україну, з іншими групами кіберзлочинців, яких відстежує компанія.
Microsoft передала свої висновки постраждалим організаціям а також урядовим установам у США та у інших країнах.
Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe, воно перезаписує основний завантажувальний запис (Master Boot Record, MBR – частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп.
«Враховуючи масштаби вторгнення, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційної організації чи підприємства, що знаходиться або має системи в Україні.
Перезапис MBR є нетиповим для кіберзлочинних програм-вимагачів. Насправді повідомлення про програму-вимагач є хитрістю, і зловмисне програмне забезпечення знищує MBR і вміст файлів, на які націлене», – йдеться у повідомленні.
Як повідомляли, у зв’язку з глобальною хакерською атакою у ніч з 13 на 14 січня перестали працювати сайти таких держорганів: МЗС, Кабінету міністрів, ДСНС, Мінагрополітики, Міносвіти, Мінспорту, Міненерго. Не працював також сайт «Дія», однак застосунок «Дія» функціонував. Щонайменш на сайті МЗС хакери залишили повідомлення, яке мало натякати на їхній «польський слід».
У Держспецзв'язку повідомили, що внаслідок хакерської атаки на урядові сайти витоку персональних даних не відбулося.
У Центрі стратегічних комунікацій та інформаційної безпеки вважають, що атака на урядові сайти – це новий розділ кібервійни проти України.
Leopolis.news