Due giorni fa è stato rilevato un attacco di defacing contro numerosi siti del governo ucraino. Microsoft ha ora individuato un malware distruttivo che rende inaccessibili numerosi file. Al momento non è noto il gruppo di cybercriminali, quindi è stato assegnato il nome temporaneo DEV-0586. L’azienda di Redmond ha rilasciato uno specifico aggiornamento per Defender Antivirus e Defender for Endpoint.
WhisperGate: attacco malware contro l’Ucraina
L’attacco di defacing effettuato venerdì scorso ha causato il blocco temporaneo di vari siti governativi. I cybercriminali hanno sostituito il contenuto con un messaggio scritto in tre lingue (ucraino, russo e polacco). Il nuovo attacco rilevato da Microsoft è sicuramente più grave. Secondo il Threat Intelligence Center dell’azienda di Redmond, l’intrusione in diversi sistemi è probabilmente un’attività di Master Boot Record (MBR) Wiper.
Il malware, denominato WhisperGate, viene installato in varie directory, tra cui C:\PerfLogs
, C:\ProgramData
, C:\
e C:\temp
. Successivamente sovrascrive il MBR e mostra un messaggio che invita la vittima al pagamento di un riscatto di 10.000 dollari in Bitcoin. In realtà non si tratta di un ransomware, ma di un wiper che distrugge il MBR e numerosi file. Le estensioni dei file da colpire sono scritte nel codice del malware.
Microsoft Defender Antivirus e Defender for Endpoint possono rilevare e bloccare WhisperGate. Il team dell’azienda di Redmond continuerà ad indagare e fornirà ulteriori dettagli nei prossimi giorni. Al momento non è stato individuato il gruppo responsabile dell’attacco. Quello di venerdì 14 è stato attribuito a cybercriminali della Bielorussia. Il defacing era solo una copertura dell’attacco distruttivo scoperto da Microsoft.