Между атакующими Украину вайперами (NotPetya и WhisperGate) нашли сходства

Между атакующими Украину вайперами (NotPetya и WhisperGate) нашли сходства

Между атакующими Украину вайперами (NotPetya и WhisperGate) нашли сходства

Эксперты проанализировали вредонос-вайпер, который недавно атаковал более десяти государственных сайтов Украины. Как отметили специалисты, им удалось найти «стратегические сходства» этого зловреда с NotPetya, который атаковал инфраструктуру Украины в 2017 году.

Напомним, что вредоносная программа, замеченная недавно в атаках на госсайты, получила название WhisperGate. На эту киберкампанию указала Microsoft, присвоив операторам кодовое имя «DEV-0586».

«У вайперов WhisperGate и NotPetya есть определённые стратегические сходства — например, маскировка под программу вымогатель, а также намеренное уничтожение главной загрузочной записи (master boot record, MBR) вместо её шифрования. Тем не менее современный вредонос располагает гораздо большим числом компонентов для деструктивной деятельности», — пишет Cisco Talos в отчёте.

Помимо этого, исследователи отметили, что в последней атаке, скорее всего, использовались украденные учётные данные. До запуска вредоносной активности киберпреступники месяцами присутствовали в сети жертв — классический признак сложной кибероперации (APT).

 

Цепочка заражения WhisperGate представляет собой многоступенчатый процесс, при котором загружается специальная вредоносная составляющая, стирающая MBR. Далее в систему  помещается вредоносная библиотека DLL, хранящаяся на сервере Discord, её цель — запустить ещё один вайпер, который уже уничтожает файлы (перезаписывает их содержимое мусорными данными).

Само собой, отдельные исследователи усмотрели в атаках WhisperGate действия знаменитых «российских хакеров». Доказательствами такие специалисты, конечно же, пока не делятся, как это обычно и бывает.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Открылась регистрация на Айдентити Конф 2024

31 октября, в Москве пройдет первая в России конференция, посвященная безопасности Identity — Айдентити Конф 2024.

Более 20 ведущих экспертов и специалистов по информационной безопасности от крупнейших компаний России поделятся своим видением, как должна строиться передовая информационная безопасность. На площадке конференции участники сформируют комплексный подход к проблемам безопасности Identity, включая защиту привилегированного доступа (PAM), многофакторную аутентификацию (AM) и комплексное управление доступом (IdM).

Конференция состоится впервые и станет ежегодным событием и центром притяжения экспертизы в области identity security. Мероприятие пройдет при поддержке «Компании Индид», российского вендора, который более 15 лет развивает комплексные решения в области безопасности айдентити (identity security).

Темами для обсуждения станут:

  • ITDR, MFA и SSO — современная аутентификация и анализ поведения;
  • Комплексные сценарии управления доступом;
  • PAM — контроль привилегированного доступа;
  • IDM — наведение порядка с правами доступа в рамках всей компании;
  • Лучшие практики внедрения проектов в рамках безопасности identity.

Партнерами конференции стали: Инфосистемы Джет, Octopus Identity, ARinteg, iTPROTECT, Softline, УЦСБ.

Айдентити Конф 2024 пройдет в Кибердоме — новом мультифункциональном пространстве в Москве для всех, кто заинтересован в будущем российской кибербезопасности.

Для участия в конференции необходима предварительная регистрация на сайте. Более подробную информацию о программе и условиях участия можно сайте Айдентити Конф 2024 (https://identity conf.ru).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru