ΑρχικήSecurityMicrosoft: Καταστροφικό malware, που παρουσιάζεται σαν ransomware, στοχεύει την Ουκρανία

Microsoft: Καταστροφικό malware, που παρουσιάζεται σαν ransomware, στοχεύει την Ουκρανία

Η Microsoft προειδοποιεί για ένα data-wiping malware που εμφανίζεται σαν ransomware και χρησιμοποιείται σε επιθέσεις εναντίον πολλών οργανισμών στην Ουκρανία. Από τις 13 Ιανουαρίου, η Microsoft εντόπισε επιθέσεις που συνδύαζαν ένα καταστροφικό MBRLocker με ένα data-corrupting malware που καταστρέφει τα δεδομένα του θύματος.

Microsoft ransomware
Microsoft: Καταστροφικό malware, που παρουσιάζεται σαν ransomware, στοχεύει την Ουκρανία

Επίθεση δύο σταδίων

Η Microsoft αποκαλεί αυτή τη νέα οικογένεια malware, “WhisperGate“, και εξηγεί ότι η επίθεση διεξάγεται μέσω δύο διαφορετικών καταστροφικών στοιχείων κακόβουλου λογισμικού.

Το πρώτο component, που ονομάζεται stage1.exe, ξεκινά από τα C:\PerfLogs, C:\ProgramData, C:\, ή C:\temp folders, που αντικαθιστούν το Master Boot Record για να εμφανιστεί ένα σημείωμα λύτρων (γι’ αυτό φαίνεται σαν ransomware).

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 12 hours ago

Δείτε επίσης: Dark web: Η πλατφόρμα carding UniCC κλείνει το κατάστημα της

Το MBR locker είναι ένα πρόγραμμα που αντικαθιστά το “master boot record”, μια τοποθεσία στον σκληρό δίσκο ενός υπολογιστή που περιέχει πληροφορίες για τα disk partitions και ένα μικρό εκτελέσιμο αρχείο που χρησιμοποιείται για τη φόρτωση του λειτουργικού συστήματος.

Τα MBR lockers αντικαθιστούν το πρόγραμμα φόρτωσης στο master boot record με ένα πρόγραμμα που συνήθως κρυπτογραφεί το partition table και εμφανίζει ένα σημείωμα λύτρων. Αυτό εμποδίζει τη φόρτωση του λειτουργικού συστήματος και την πρόσβαση στα δεδομένα έως ότου πληρωθούν τα λύτρα.

Το σημείωμα λύτρων WhisperGate, σε μια από τις επιθέσεις που εντόπισε η Microsoft, λέει στο θύμα να στείλει 10.000 $ σε bitcoin, στη διεύθυνση 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv και να επικοινωνήσει με τους φορείς της επίθεσης μέσω ενός Tox chat ID.

Η Microsoft αναφέρει ότι η χρήση του Tox δείχνει ότι δεν πρόκειται για κανονικό ransomware. Ωστόσο, το BleepingComputer λέει ότι υπάρχουν ransomware ομάδες που χρησιμοποιούν το Tox ως μέθοδο επικοινωνίας.

Ωστόσο, το σημείωμα λύτρων του MBRLocker χρησιμοποιεί την ίδια διεύθυνση bitcoin για όλα τα θύματα και δεν παρέχει μέθοδο εισαγωγής κλειδιού αποκρυπτογράφησης. Αυτό συνήθως δείχνει ότι δεν πρόκειται για πραγματικό ransomware, αλλά για ένα data-wiping malware σχεδιασμένο για καταστροφικούς σκοπούς.

Το δεύτερο component, που ονομάζεται stage2.exe, εκτελείται ταυτόχρονα με το πρώτο για τη λήψη ενός κακόβουλου λογισμικού που καταστρέφει δεδομένα και ονομάζεται Tbopbh.jpg. Φιλοξενείται στο Discord και αντικαθιστά στοχευμένα αρχεία με static data.

Δείτε επίσης: Αδυναμία του Microsoft Defender εμποδίζει τον εντοπισμό malware

Εάν ένα αρχείο φέρει μία από τις παρακάτω επεκτάσεις, το malware αντικαθιστά τα περιεχόμενα του αρχείου με έναν σταθερό αριθμό 0xCC byte (συνολικό μέγεθος αρχείου 1MB)“, εξηγεί η αναφορά της Microsoft.

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Μετά την αντικατάσταση των περιεχομένων, το malware μετονομάζει κάθε αρχείο με μια φαινομενικά τυχαία four-byte επέκταση“.

Καθώς κανένα από τα δύο malware components δεν προσφέρει μέσα για την εισαγωγή κλειδιών αποκρυπτογράφησης, για την επαναφορά του αρχικού Master Boot Record, και καθώς τα αρχεία αντικαθίστανται με static undecryptable data, η Microsoft θεωρεί ότι πρόκειται για επιθέσεις που χρησιμοποιούν αυτό το malware για να καταστρέψουν αρχεία και όχι για να λάβουν οι hackers χρήματα.

malware Ουκρανία
Microsoft: Καταστροφικό malware, που παρουσιάζεται σαν ransomware, στοχεύει την Ουκρανία

Η Microsoft δεν έχει κατορθώσει να συνδέσει τις επιθέσεις με κάποια συγκεκριμένη ομάδα.

Με τις γεωπολιτικές εντάσεις να κλιμακώνονται μεταξύ Ρωσίας και Ουκρανίας, πιστεύεται ότι αυτές οι υποτιθέμενες ransomware επιθέσεις έχουν σχεδιαστεί για να δημιουργήσουν χάος στην Ουκρανία.

Δείτε επίσης: Συνελήφθη συμμορία ransomware που έπληξε πάνω από 50 εταιρείες

Μια παρόμοια επίθεση διεξήχθη το 2017, όταν χιλιάδες επιχειρήσεις στην Ουκρανία έγιναν στόχος του ransomware NotPetya. Το NotPetya βασιζόταν σε πραγματικό ransomware, το οποίο είναι γνωστό ως Petya. Ωστόσο, και εκείνες οι επιθέσεις κατά της Ουκρανίας δεν είχαν στόχο τα λύτρα.

Ουκρανία: Στόχος κυβερνοεπιθέσεων τις τελευταίες ημέρες

Την προηγούμενη εβδομάδα, αρκετά sites δημόσιων ιδρυμάτων και κυβερνητικών υπηρεσιών της Ουκρανίας παραβιάστηκαν και τέθηκαν εκτός σύνδεσης.

Οι defacement επιθέσεις οδήγησαν στην προβολή ενός μηνύματος που προειδοποιούσε τους επισκέπτες των sites ότι τα δεδομένα τους κλάπηκαν και κοινοποιήθηκαν δημόσια στο διαδίκτυο.

Ωστόσο, παράγοντες απειλών που έχουν εξετάσει τα δημοσιευμένα δεδομένα λένε ότι δεν σχετίζονται με κυβερνητικές υπηρεσίες της Ουκρανίας αλλά με δεδομένα από μια παλιά διαρροή.

Η Ουκρανία κατηγορεί τη Ρωσία για τις επιθέσεις.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS