Обнаружение вредоносного программного обеспечения (ПО) в системах украинских госучреждений подтвердили в Microsoft, говорится в заявлении, опубликованном 15 января в блоге компании.

«Сегодня мы сообщаем, что наблюдали разрушительное вредоносное ПО в системах, принадлежащих нескольким украинским государственным учреждениям и организациям, которые тесно сотрудничают с правительством Украины», — говорится в сообщении.

В компании пояснили, что вредоносное ПО выглядит как программа-вымогатель, однако направлено оно на вывод системы из строя и не имеет как механизма восстановления, так и ряда признаков, характерных для настоящих программ-вымогателей. Некоторые подробности работы этого ПО компания опубликовала в техническом разделе блога, посвященном вопросам безопасности.

В частности, специалисты компании выяснили, что ПО состоит из двух частей, первая из которых в случае активизации перезаписывает основную загрузочную запись диска (MBR) для вывода при перезагрузке сообщения о повреждении диска с требованием заплатить злоумышленникам $10 тыс. на кошелек в сети биткоин.

Вторая часть ПО может быть загружена из канала Discord и при активации разрушает определенные типы файлов, обнаруженные на компьютере жертвы. Это различные документы, электронные таблицы, графические изображения, архивы, файлы баз данных и другие.

По словам авторов публикации, в компании уже добавили возможность обнаружения и удаления данного вредоносного ПО в собственные продукты по безопасности, такие как антивирус и программа Microsoft 365 Defender Endpoint Detection (EDR). При этом, утверждается, что в компании не видят «никаких признаков того, что эти атаки используют какие-либо уязвимости в продуктах и службах Microsoft».

При этом в публикации ничего не сказано ни о механизме распространения данного вредоносного ПО, ни о том, каким образом оно попало в пораженные им системы. В компании также подчеркнули, что на момент публикации «не выявили заметного совпадения между уникальными характеристиками группы, стоящей за этими атаками, и группами, которые мы традиционно отслеживали».

Напомним, 14 января Служба безопасности Украины (СБУ) заявила о произошедшей ночью масштабной кибератаке на сайты госорганов Украины. По данным СБУ, было атаковано более 70 государственных сайтов, в том числе портал госуслуг «Дия».

Читайте также: Киев обвинил Россию в кибератаках на правительственные сайты Украины