Home Ciberguerra Microsoft advierte de una campaña de malware destructiva, dirigida a Ucrania

Microsoft advierte de una campaña de malware destructiva, dirigida a Ucrania

Microsoft ha detectado una importante campaña de malware dirigida a organizaciones gubernamentales, informáticas y sin ánimo de lucro en toda Ucrania.

Apodada “WhisperGate”, los ataques se detectaron por primera vez el 13 de enero, más o menos al mismo tiempo que más de una docena de sitios web del gobierno se vieron obligados a dejar de funcionar, en lo que se describió como un ciberataque “masivo”.

Aunque Microsoft dijo que no había observado vínculo entre la campaña de malware destructivo, rastreada como DEV-0586, y grupos de actividad conocidos anteriormente, se produce en un momento de mayor tensión con Rusia, que vuelve a amenazar a Ucrania con una invasión.

El malware, “que está diseñado para parecerse a un ransomware pero que carece de un mecanismo de recuperación del rescate”, se ha encontrado en “docenas” de sistemas, aunque puede haberse extendido mucho más, advirtió Microsoft.

“El malware de dos etapas sobrescribe el Master Boot Record (MBR) en los sistemas de las víctimas con una nota de rescate (etapa 1). El MBR es la parte de un disco duro que indica al ordenador cómo cargar su sistema operativo. La nota de rescate contiene un monedero de Bitcoin y un ID de Tox (un identificador de cuenta único utilizado en el protocolo de mensajería cifrada de Tox) que no han sido observados previamente por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC)”, señala la entrada del blog.

“El malware se ejecuta cuando el dispositivo asociado se apaga. Sobrescribir el MBR es atípico para el ransomware de los ciberdelincuentes. En realidad, la nota del ransomware es una treta, y que el malware destruye el MBR y el contenido de los archivos a los que se dirige”.

El malware de la segunda etapa está alojado en un canal de Discord y está diseñado para localizar extensiones de archivo específicas, sobrescribir el contenido y renombrar el archivo con una extensión aleatoria de cuatro bytes.

Microsoft instó a las organizaciones afectadas a buscar los IoC pertinentes, investigar cualquier actividad de autenticación anómala y activar la autenticación multifactor (MFA) y el acceso controlado a carpetas (CFA) en Microsoft Defender para evitar la modificación del MBR.