Microsoft заявляє про масштабне пошкодження серверів та знищення даних внаслідок кібератаки на урядові сайти України

Центр розвідки загроз Microsoft (MSTIC) виявив замасковане під програми-здирники шкідливе програмне забезпечення, яке використовувалося при атаці хакерів на урядові мережі України. ПЗ втрутилося у роботу жорстких дисків заражених пристроїв.

У Microsoft розповіли, що вперше виявили це шкідливе програмне забезпечення 13 січня 2022 року. Відповідну інформацію оприлюднили на сайті Microsoft у неділю, 16 січня.

Шкідливе ПЗ замасковано під програму-вимагач, проте призначене не для отримання вигоди, а для виведення з експлуатації пристроїв, на які націлено. ПЗ вже виявлено в десятках постраждалих систем, проте їх кількість може збільшитись, при продовженні розслідування. У списку заражених – системи державних органів, некомерційних організацій та інформаційно-технологічних компаній України. У Microsoft додали, що поки не знайшли значної подібності хакерів, що атакують Україну, з іншими групами кіберзлочинців, яких відстежує компанія. Microsoft передала свої висновки постраждалим організаціям, а також урядовим установам США та інших країнах. Шкідливе програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто називається stage1.exe, воно перезаписує основний завантажувальний запис (Master Boot Record, MBR - частина жорсткого диска, що повідомляє комп'ютера, як завантажити операційну систему) в системах-жертвах із записом про викуп.

"З огляду на масштаби вторгнення, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційної організації або підприємства, що перебуває або має систему в Україні. Перезапис MBR нетиповий для кіберзлочинних програм-здирників. Насправді, повідомлення про програму-вимагач є хитрістю, і шкідливе програмне забезпечення знищує MBR і вміст файлів, на які націлено", - йдеться в матеріалі.

Як відомо, у ніч на 14 січня на Україну було здійснено серйозну кібератаку, внаслідок якої з ладу вийшли близько 70 урядових та регіональних сайтів. Фахівці спочатку припустили, що це справа кіберзлочинців із РФ. Мета хакерів – дестабілізувати внутрішню ситуацію в країні, посіяти хаос та зневіру у суспільстві. Також ASPI news повідомляло, що заступник секретаря РНБО Сергій Демедюк заявив, що за кібератакою може стояти хакерське угруповання UNC1151, пов'язане з білоруським розвідуванням.