Microsoft попереджає про нову серйознішу загрозу для комп'ютерів багатьох українських організації

Попередня атака на урядові сайти, скоріше за все, була способом відволікти увагу від значно серйознішої загрози: десятки (сотні) комп'ютерів невказаних установ та організацій, як урядових так й інших, також було атаковано, а важлива інформація на них знищена.

Атаку маскують під ransomware (шифрування диску з подальшою вимогою викупу), однак вона такою не є -- немає механізму відновити файли.

Топ-менеджер з кібербезпеки одної із IT фірм приватного сектора в Києві розповів Associated Press, як атака проходила: зловмисники проникли у державні мережі через спільного постачальника програмного забезпечення (скоріше за все, йдеться про той самий KitSoft, що постачає ПО на низку державних підприємств) в рамках так званої "атаки на ланцюжок постачання" (у стилі російської кампанії кібершпигунства SolarWinds 2020 року на уряд США.

В іншому технічному дописі Microsoft заявила, що постраждалі системи «охоплюють низку державних, неприбуткових та інформаційно-технологічних організацій». Шкідливе програмне забезпечення знаходиться в різних робочих каталогах, включаючи C:PerfLogs, C:ProgramData, C: і C:temp, і часто називається stage1.exe. Під час атаки переписується Master Boot Record жорсткого диску і з'являється повідомлення з вимогою викупу, але це повідомлення фальшиве -- в цьому шкідливому ПЗ немає механізму відновлення знищених файлів. За інформацією Microsoft, компоненти шкідника спрацьовують після виключення пристрою, що робить його додатково небезпечним.

Іншим компонентом атаки є файл з назвою stage2.exe, який завантажує з інтернету шкідливу програму що незворотньо пошкоджує найбільш популярні типи файлів, у тому числі з документами і зображеннями.

Детально про шкідливе ПО і що зробити, щоб йому запобігти, читайте у цьому дописі від Microsoft.