Детали
По данным анализа службы, для нарушения работы систем злоумышленники шифровали или удаляли данные вручную (путем удаления виртуальных машин) или с применением по меньшей мере двух разновидностей вредоносных программ:
- BootPatch: программа выполняет запись вредоносного кода MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение уведомления о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill: выполняет перезаписи файлов по заданному списку расширений последовательностью байт 0xCC длиной 1МБ.
Вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать имеющиеся доверительные связи вывода из строя связанных систем.
Госспецсвязь все же не отвергает еще два возможных вектора атаки: эксплуатация уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, кибератаку планировали заранее и проводили в несколько этапов, в том числе с применением элементов провокации.
Атака, которую применили злоумышленники, имеет тип "дефейс" (от англ. deface — искажать, извращать), во время которой главную страницу веб-сайта заменяют другой, а доступ ко всему другому сайту блокируют или же предыдущее содержимое сайта удаляют.
Обнаружили два типа атаки дефейс:
- полная замена главной страницы;
- в код веб-сайта добавлен скрипт, производящий замену контента.
С целью модификации содержимого веб-страниц злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций.
Также при изучении скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Напомним
В ночь с 13 на 14 января была осуществлена хакерская атака на ряд правительственных веб-ресурсов. В частности, не работали сайты Министерства иностранных дел, Минэнерго, ГСЧС, МОН и "Дии".
Злоумышленники на главных страницах этих сайтов разместили сообщения провокационного характера. В то же время в сети было распространено заявление якобы от самих хакеров: “Все ваши личные данные были загружены в общую сеть”.
Работу большинства атакованных государственных ресурсов уже возобновили. Контент сайтов остался без изменений, и утечки персональных данных не произошло.