Logiciel malveillant destructeur ciblant les organisations ukrainiennes
Microsoft Threat Intelligence Center (MSTIC) a identifié des preuves d’une opération malveillante destructrice ciblant plusieurs organisations en Ukraine. Ce logiciel malveillant est apparu pour la première fois sur les systèmes victimes en Ukraine le 13 janvier 2022. Microsoft est conscient des événements géopolitiques en cours en Ukraine et dans la région environnante et encourage les organisations à utiliser les informations contenues dans ce message pour se protéger de manière proactive contre toute activité malveillante.
Alors que notre enquête se poursuit, MSTIC n’a trouvé aucune association notable entre cette activité observée, suivie comme DEV-0586, et d’autres groupes d’activité connus. MSTIC évalue que le logiciel malveillant, qui est conçu pour ressembler à un logiciel de rançon mais dépourvu de mécanisme de récupération de rançon, est destiné à être destructeur et conçu pour rendre les appareils ciblés inopérants plutôt que pour obtenir une rançon.
À l’heure actuelle et sur la base de la visibilité de Microsoft, nos équipes d’enquête ont identifié le logiciel malveillant sur des dizaines de systèmes touchés et ce nombre pourrait augmenter à mesure que notre enquête se poursuit. Ces systèmes couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l’information, toutes basées en Ukraine. Nous ne connaissons pas l’étape actuelle du cycle opérationnel de cet attaquant ou combien d’autres organisations de victimes peuvent exister en Ukraine ou dans d’autres lieux géographiques. Cependant, il est peu probable que ces systèmes impactés représentent toute l’étendue de l’impact, comme le signalent d’autres organisations.
Compte tenu de l’ampleur des intrusions observées, MSTIC n’est pas en mesure d’évaluer l’intention des actions destructrices identifiées, mais pense que ces actions représentent un risque élevé pour toute agence gouvernementale, à but non lucratif ou entreprise située ou disposant de systèmes en Ukraine. Nous encourageons fortement toutes les organisations à mener immédiatement une enquête approfondie et à mettre en place des défenses en utilisant les informations fournies dans ce message. MSTIC mettra à jour ce blog car nous avons des informations supplémentaires à partager.
Comme pour toute activité d’acteur étatique observée, Microsoft informe directement et de manière proactive les clients qui ont été ciblés ou compromis, en leur fournissant les informations dont ils ont besoin pour guider leurs enquêtes. MSTIC travaille également activement avec des membres de la communauté mondiale de la sécurité et d’autres partenaires stratégiques pour partager des informations qui peuvent faire face à cette menace en évolution par de multiples canaux. Microsoft utilise les désignations DEV-#### comme nom temporaire donné à une activité de menace inconnue, émergente ou en développement, permettant à MSTIC de la suivre comme un ensemble unique d’informations jusqu’à ce que nous atteignions un niveau de confiance élevé quant à l’origine ou à l’identité. de l’acteur derrière l’activité. Une fois qu’il répond aux critères, un DEV est converti en un acteur nommé ou fusionné avec des acteurs existants.
Activité des acteurs observée
Le 13 janvier, Microsoft a identifié une activité d’intrusion en provenance d’Ukraine qui semblait être une possible activité d’effacement des enregistrements de démarrage principaux (MBR). Au cours de notre enquête, nous avons découvert qu’une fonctionnalité malveillante unique était utilisée dans des attaques par intrusion contre plusieurs organisations victimes en Ukraine.
Étape 1 : Écraser l’enregistrement de démarrage principal pour afficher une fausse note de rançon
Le logiciel malveillant réside dans divers répertoires de travail, notamment C:\PerfLogs , C:\ProgramData , C:\ et C:\temp , et est souvent nommé stage1.exe . Dans les intrusions observées, le logiciel malveillant s’exécute via Impacket, une capacité accessible au public souvent utilisée par les acteurs de la menace pour le mouvement latéral et l’exécution.
Lire la suite sur:
https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/