حمله سایبری اوکراین از دید مایکروسافت

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت مایکروسافت امروز اعلام کرد که یک حمله مخرب را در اوکراین مشاهده کرده است که در آن یک نوع بدافزار در پوشش باج افزار اطلاعات رایانه‌های آلوده را پاک کرده؛ اما هیچ مکانیسم بازیابی و پرداخت باجی از خود ارائه نکرده است.

مرکز اطلاعات تهدید مایکروسافت اواخر شنبه‌شب در یک پیام وبلاگی اعلام کرد:

در حال حاضر و بر اساس قابلیت مشاهده مایکروسافت، گروه‌های تحقیقاتی ما این بدافزار را در ده‌ها سیستم آسیب‌دیده شناسایی کرده‌اند و این تعداد ممکن است با ادامه تحقیقات ما افزایش یابد.

این شرکت گفت:

این سیستم‌های آسیب‌دیده به چندین سازمان دولتی، غیرانتفاعی و سازمان‌های فناوری اطلاعات که همگی در اوکراین مستقر هستند تعلق دارند. هنوز عامل توزیع شناسایی نشده و مشخص نیست که این حمله به اهدافی فراتر از اوکراین سرایت کرده یا نه.

مایکروسافت در ادامه توضیح داد:

درست مانند بدافزارهای NotPetya و BadRabbit، این مورد جدید نیز دارای مؤلفه‌ای است که اطلاعات بوت مستر (MBR)  یک کامپیوتر را بازنویسی می‌کند و از بوت شدن آن‌ها جلوگیری می‌کند. سپس این باج افزار صفحه راه‌اندازی را با یک یادداشت باج جایگزین می‌کند که شامل هزینه باج، آدرس بیت کوین برای دریافت باج‌ها و شناسه‌ای برای تماس با مهاجمان است.

درصورتی‌که قربانیان موفق به بازیابی اطلاعات بوت مستر و بخش بوت آپ خود شوند، این بدافزار فایل‌هایی با پسوند خاص و تا حجم 1 مگابایت را از طریق بازنویسی محتویات آن‌ها با تعداد ثابتی از بایت‌های 0xCC خراب می‌کند. پس از بازنویسی محتویات، عامل تخریب‌کننده نام هر فایل را با یک پسوند ظاهراً تصادفی چهار بایتی تغییر می‌دهد.

باوجوداینکه مهاجمان 10 هزار دلار باج‌خواهی کرده‌اند؛ اما آدرس بیت کوین آن‌ها فقط شامل یک پرداخت 5 دلاری است.

محققان مایکروسافت در انتها خاطرنشان کردند که هنوز قادر به پیوند دادن این گروه به هیچ گروه هکری شناخته‌شده‌ای نیستند و در حال حاضر مهاجمان را با نام موقت DEV-0586 می‌شناسند.