Clicky

Sobrescribe el Master Boot Record (MBR), el primer sector de cualquier disco duro

Los equipos de seguridad cibernética de Microsoft revelaron el sábado que identificaron evidencia de una nueva y destructiva operación de malware dirigida a entidades gubernamentales, sin fines de lucro y de tecnología de la información en Ucrania en medio de las crecientes tensiones geopolíticas entre el país y Rusia.

"El malware está disfrazado de ransomware pero, si el atacante lo activa, dejaría inoperable el sistema informático infectado", dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente en Microsoft, agregando que las intrusiones estaban dirigidas a agencias gubernamentales que brindan funciones críticas del poder ejecutivo o de respuesta a emergencias.

También está en el punto de mira una firma de TI que "administra sitios web para clientes del sector público y privado, incluidas agencias gubernamentales cuyos sitios web fueron desfigurados recientemente", señaló Burt.

El gigante informático, que detectó el malware por primera vez el 13 de enero, atribuyó los ataques a un grupo de amenazas emergentes con el nombre en código "DEV-0586", sin que se observaran superposiciones en tácticas y procedimientos con otros grupos previamente documentados. Dijo además que el malware se encontró en docenas de sistemas afectados, un número que espera aumentar a medida que continúa la investigación.

Según Microsoft Threat Intelligence Center (MSTIC) y Microsoft Digital Security Unit (DSU), la cadena de ataque es un proceso de dos etapas que implica:

Sobrescribe el Master Boot Record (MBR), el primer sector de cualquier disco duro que identifica dónde se encuentra el sistema operativo en el disco para que pueda cargarse en la memoria RAM de una computadora, en el sistema de una víctima para mostrar una falsa nota de rescate instando al objetivo a pagar una cantidad de $ 10.000 a una billetera bitcoin.

nota de rescate del malware a Ucrania

Un ejecutable de segunda etapa que recupera un malware corruptor de archivos alojado en un canal de Discord que está diseñado para buscar archivos con 189 extensiones diferentes, luego sobrescribe irrevocablemente su contenido con un número fijo de bytes 0xCC y cambia el nombre de cada archivo con una extensión aparentemente aleatoria de cuatro bytes.

La actividad maliciosa es "inconsistente" con la actividad de ransomware ciberdelincuente por razones que "los montos de pago explícitos y las direcciones de billetera de criptomonedas rara vez se especifican en las notas de rescate criminales modernas" y "la nota de rescate en este caso no incluye una identificación personalizada", dijo Microsoft.

El desarrollo se produce cuando numerosos sitios web gubernamentales en el país de Europa del Este fueron desfigurados el viernes con un mensaje que advierte a los ucranianos que sus datos personales se están cargando en Internet. El Servicio de Seguridad de Ucrania (SSU) dijo que encontró "señales" de participación de grupos de piratería asociados con los servicios de inteligencia rusos.

"Dada la escala de las intrusiones observadas, MSTIC no puede evaluar la intención de las acciones destructivas identificadas, pero cree que estas acciones representan un riesgo elevado para cualquier agencia gubernamental, sin fines de lucro o empresa ubicada o con sistemas en Ucrania", advirtieron los investigadores.

Sin embargo, Reuters planteó hoy la posibilidad de que los ataques hayan sido obra de un grupo de espionaje vinculado a la inteligencia bielorrusa que se rastrea como UNC1151 y Ghostwriter. "UNC1151 ha realizado múltiples intrusiones significativas en entidades gubernamentales ucranianas", reveló la firma de ciberseguridad Mandiant en un informe en noviembre de 2021, señalando que las operaciones del grupo están alineadas con los intereses del gobierno bielorruso.

Buscar en el sitio

 
Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube