El equipo de inteligencia de seguridad de Microsoft ha encontrado un nuevo malware destructivo que reside en los sistemas gubernamentales de Ucrania, que está configurado para comprometer los servicios críticos que dependen de él.
El malware aún no se ha etiquetado en un grupo de amenazas, pero ahora se rastrea temporalmente como DEV-0586 y es capaz de sobrescribir los registros maestros de arranque de una computadora. Esto hace que la computadora no funcione ya que no puede arrancar. Microsoft dijo que se pueden encontrar más sistemas con este malware a través de la investigación en curso.
Un malware disfrazado de ransomware
Solo un par de días después del incidente ucraniano en el que se desfiguraron más de 10 sitios web del gobierno, microsoft ahora encontrado una nueva amenaza contra el gobierno ucraniano. El equipo de inteligencia de amenazas de Microsoft ha descubierto malware de borrado de datos en varios sistemas del gobierno ucraniano.
Este malware destructivo se detecta en las computadoras de varias agencias gubernamentales, organizaciones sin fines de lucro y de tecnología de la información, todas con sede en Ucrania, y brindan servicios cruciales al gobierno. Este malware está disfrazado de ransomware, ya que lleva una nota de rescate que solicita un pago de $ 10,000 por las llaves si se bloquea con éxito.
Si bien aún no se ha activado, Microsoft estudió las muestras de malware y dijo que es lo suficientemente destructivo como para compararlo con el malware de NotPetya y BadRabbit. Estos dos actores de amenazas atacaron a los gobiernos de Ucrania en 2017 y luego se extendieron por todo el mundo.
Dado que las investigaciones se encuentran en las etapas iniciales, Microsoft no ha atribuido este malware a ningún grupo específico, sino que lo ha etiquetado como DEV-0586 temporalmente. Y con respecto al malware, Microsoft dijo que puede borrar los datos críticos del sistema para hacerlo inútil.
Más específicamente, el malware es capaz de sobrescribir el Master Boot Record (MBR) de una computadora y evitar que se inicie. E incluso si la víctima intenta recuperar el MBR y la secuencia de arranque, es posible que pierda el acceso a los archivos internos, ya que es posible que ya estén dañados.
