El informe se basa en la información recopilada por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), la Unidad de Seguridad Digital (DSU), el Equipo de Detección y Respuesta (DART) y el Equipo de Inteligencia de Amenazas de Microsoft 365 Defender. (Que no tiene siglas, por razones obvias). Microsoft dice que sus numerosos equipos “están trabajando para crear e implementar detecciones para esta actividad”.
“En la actualidad y en base a la visibilidad de Microsoft”, dice la compañía en una entrada de blog sobre sus hallazgos, “nuestros equipos de investigación han identificado el malware en docenas de sistemas impactados y ese número podría crecer a medida que nuestra investigación continúa. Estos sistemas abarcan múltiples organizaciones gubernamentales, sin ánimo de lucro y de tecnología de la información, todas ellas con sede en Ucrania”.
Microsoft está siguiendo estos ataques como DEV-0586. La designación “DEV” indica que se trata de “un nombre temporal dado a una actividad de amenaza desconocida, emergente o en desarrollo, que permite a MSTIC seguirla como un conjunto único de información hasta que alcancemos un alto grado de confianza sobre el origen o la identidad del actor que está detrás de la actividad”, explica la compañía.
Se dice que el malware de DEV-0586 opera en dos etapas. La primera etapa del malware sobrescribe el Master Boot Record, que Microsoft describe como “la parte de un disco duro que indica al ordenador cómo cargar su sistema operativo”, con la siguiente nota de rescate:
Su disco duro ha sido corrompido.
En caso de que quiera recuperar todos los discos duros de su organización, deberías pagarnos 10 mil dólares a través de la cartera de bitcoin 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv y enviar mensaje a través de ID de toxicidad 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65 con el nombre de su organización.
Nos pondremos en contacto con usted para darle más instrucciones.
“El malware se ejecuta cuando el dispositivo asociado está apagado”, dice Microsoft. “Sobrescribir el MBR es atípico para el ransomware de los ciberdelincuentes. Actualmente, la nota del ransomware es una treta y que el malware destruye el MBR y el contenido de los archivos a los que se dirige”.
Microsoft dice que la segunda etapa del malware descarga lo que “puede describirse mejor como un corruptor de archivos maliciosos” desde un canal de Discord controlado por el atacante. Ese corruptor de archivos malicioso busca extensiones de archivos comunes “en ciertos directorios del sistema” y sobrescribe el contenido de esos archivos antes de renombrarlos “con una extensión de cuatro bytes aparentemente aleatoria”.
La compañía todavía está analizando el corruptor de archivos, pero ya ha actualizado Microsoft Defender Antivirus y Microsoft Defender for Endpoint para detectar esta familia de malware, que está rastreando como “WhisperGate”. También “continúa la investigación y compartirá actualizaciones significativas con los clientes afectados, así como con los socios del sector público y privado”, a medida que tenga más información.
Mientras tanto, Microsoft ha aconsejado a las empresas que habiliten la autenticación multifactor para las cuentas que puedan utilizarse para acceder de forma remota a su infraestructura. Los usuarios de Microsoft Defender for Endpoint también pueden utilizar la función de acceso controlado a carpetas para “evitar la modificación del MBR/[Volume boot record]”. Hay más información disponible a través de la publicación del blog de la compañía.
“Dada la escala de las intrusiones observadas”, dice la compañía, “MSTIC no puede evaluar la intención de las acciones destructivas identificadas, pero cree que estas acciones representan un riesgo elevado para cualquier agencia gubernamental, sin ánimo de lucro o empresa ubicada o con sistemas en Ucrania. Animamos encarecidamente a todas las organizaciones a realizar inmediatamente una investigación exhaustiva y a implementar defensas utilizando la información proporcionada en este post”.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Seguridad
Alberto Berrios
Escribo sobre productos relacionados con el audio desde pequeños altavoces inalámbricos hasta grandes sistemas Hi-Fi. No comparo estos productos con otros, sino que muestro los puntos fuertes y débiles de cada dispositivo separado. Si quieres saber si un determinado producto merece la pena, ¡consulta una de mis reseñas antes de hacer la compra! Gracias por leer, hasta la próxima.
