A Microsoft afirma ter descoberto um “malware destrutivo” utilizado em ataques cibernéticos que têm como alvo organizações da Ucrânia. Na publicação em seu blog, o Microsoft Threat Intelligence Center (MSTIC) detalha que o malware foi desenvolvido para parecer um ataque ransomware, mas não apresenta mecanismos de recuperação de arquivos.
Isso significa que, ao contrário dos ataques ransomware comuns, em que o objetivo é exigir o pagamento de um resgate para recuperar os arquivos comprometidos, o malware recém-descoberto tem um caráter destrutivo e foi criado para tornar os dispositivos alvo inoperáveis em vez de “sequestrar” informações.
Apenas alguns dias antes da publicação da Microsoft, mais de 70 sites do governo ucraniano haviam sido invadidos por grupos supostamente associados ao serviço secreto russo. Apesar da proximidade temporal entre os dois eventos, a multinacional de tecnologia afirma não ter encontrado qualquer ligação entre eles.
A empresa ainda alerta que já identificou dezenas de sistemas que foram impactados e que este número pode aumentar à medida que as investigações continuam. Ainda não há informações sobre o estágio atual do ciclo operacional dos criminosos e nem um número exato de vítimas na Ucrânia e em outros locais.
Também não está claro qual é o propósito desses ataques, mas a Microsoft recomenda que todas as agências governamentais ucranianas, organizações sem fins lucrativos e empresas da região permaneçam atentos.
Falso pedido de resgate
Conforme explica a Microsoft em seu blog, o malware é executado via Impacket e substitui o Master Boot Record (MBR) em um sistema com uma mensagem exigindo US$ 10 mil em bitcoins. Apesar do recado solicitando um resgate, a empresa diz que essa estratégia é apenas um truque para simular um ataque ransomware.
O malware localiza os arquivos em diretórios específicos com dezenas de extensões de arquivo comuns e substitui o conteúdo, sem qualquer mecanismo de recuperação. Esta característica é o que difere a operação dos ataques ransomware, em que os arquivos são criptografados e as mensagens não especificam o valor do resgate.
Outra particularidade é o fato de os hackers terem disponibilizado apenas um método de comunicação – um Tox ID, que é um identificador utilizado com o protocolo de troca de mensagens criptografadas Tox.
Geralmente, os responsáveis por ramsonware oferecem diversas alternativas de contato, incluindo um endereço de e-mail, para facilitar a comunicação com a vítima.
Histórico de ataques cibernéticos
Embora ainda esteja investigando os eventos para obter mais explicações sobre a operação, a Microsoft informou que já está trabalhando em soluções para detectar o malware.
Mesmo com a falta de evidências capazes de ligar os incidentes à Rússia, o país ainda continua na lista de suspeitos, considerando que ele já chegou a utilizar esta mesma estratégia de simular um ramsonware como disfarce para seus ataques destrutivos.
Caso uma empresa ou organização seja vítima do malware recém-descoberto, o processo de recuperação pode ser desafiador e vai depender dos recursos de cibersegurança disponíveis, levando dias ou até semanas para que o problema seja resolvido.
No caso da Ucrânia, a recuperação também poderá variar de acordo com cada entidade afetada. No entanto, o país já acumula um histórico de ataques de sabotagem envolvendo a Rússia e, considerando que esses incidentes são relativamente comuns, a expectativa é que a situação seja controlada sem grandes complicações.
