Спецпроєкти

Кибератака на госучреждения: Microsoft обнаружила программы, которые использовали хакеры


В Microsoft обнаружили вредоносные программы-вымогатели, замаскированные под программы, которые использовали во время хакерской атаки на сайты госорганов.

Об этом заявили в блоге Центра анализа угроз Microsoft (MSTIC).

Что это значит?

«Учитывая масштабы вторжений, MSTIC не может оценить цели выявленных деструктивных действий. При этом она считает, что эти действия представляют повышенный риск для любого государственного учреждения, некоммерческой организации или предприятия, которые расположены или имеют системы в Украине», – говорится в сообщении Microsoft.

В корпорации заявляют, что 13 января программы-требователи обнаружили на компьютерах госучреждений, некоммерческих организаций и IT-компаний. Вредоносные программы замаскировали под программы-вымогатели. По мнению Microsoft, эти вирусы не предусматривают механизм восстановления системы после получения выкупа.

В корпорации добавляют, что в процессе расследования эти программы обнаружат еще на многих ПК. Где именно обнаружили вирус, в каких организациях или компаниях – в Microsoft не сообщают.

Также они не обнаружили связь кибератаки на сайты госучреждений Украины с другими хакерскими атаками. Выводы своего расследования корпорация передала правительственным учреждениям в США и других странах.

Программа-вымогатель часто называется stage1.exe и есть в разных рабочих каталогах устройств. С ПК жертв атаки программа перезаписывает MBR (часть жесткого диска, сообщающая компьютеру, как загрузить операционную систему). Часто после этого возникает требование выкупа за то, чтобы работу возобновили.

«Перезапись MBR нетипична для киберпреступных программ-требователей. На самом деле сообщения о программе-требователе являются хитростью, и злостное программное обеспечение уничтожает MBR и содержимое файлов, на которые нацелено», – добавили в корпорации.

Расследование в Украине

Госспецсвязи, СБУ и Киберполиция продолжают расследование кибератаки на сайты органов государственной власти, состоявшейся ночью с 13 на 14 января.

Как сообщалось ранее, в Центре стратегических коммуникаций нашли российский след в хакерской атаке на сайты госучреждений.

Аналитики отследили хронологию публикаций информации об атаке на сайты государственных учреждений. Сначала новости об этом появились в социальных сетях, далее об этом рассказали медиа – «сливные бачки», и после этого инфоповод подхватили российские издания:

04:04 – «Бойтесь: хакеры взломали сайт Министерства образования Украины» (alternatio.org);
04:14 – «Бойтесь: на сайте украинского Министерства появились угрозы жителям» (ria.ru);
05:00 – «Хакеры взломали сайт Министерства образования Украины» (echo.msk.ru);
05:03 – «Ждите худшего: хакеры взломали сайты украинских Министерств и разместили там угрозы» (life.ru).

«Скрыть «русский след» должно было использование хакерами упоминаний о Волыни, ОУН-УПА, Галичине, Полесье и «других исторических землях». Очевидно, что это сделано специально, чтобы бросить тень за хакерскую атаку на Польшу: Россия и ее прокси давно работают над тем, чтобы поссорить две дружеские соседские страны. Прошлое польско-украинских отношений является чувствительной темой. Противоречия по трактовке некоторых событий в Польше и Украине создают определенные проблемы для современного сотрудничества двух государств в ряде сфер», – добавляют в Центре стратегических коммуникаций.

Как доказательство этого утверждения, они приводят информацию о том, что в 2017 году нашли факты причастности российских спецслужб к нагнетанию антиукраинских настроений в Польше.

В Минцифре заявили, что все персональные данные находятся под надежной защитой в госреестрах.

«Объявление о возможности купить данные, полученные после взлома 14 января, – афера: мошенники продают старые данные, скомплектованные из многих источников, которые слили до 2019 года», – объясняют в Министерстве.

Людей просят не паниковать.

#bit.ua
Читайте нас в
Telegram
Мы в Телеграме
подписывайтесь