Microsoft ha informado de que organizaciones ucranianas están siendo objetivo de un malware que se hace pasar por ransomware, aunque cuando las víctimas pagan los rescates no puede recuperar los datos.
El informe se basa en la información recogida por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), la Unidad de Seguridad Digital (DSU), el Equipo de Detección y Respuesta (DART) y el Equipo de Inteligencia de Amenazas de Microsoft 365 Defender. "Nuestros equipos de investigación han identificado el malware en docenas de sistemas impactados y ese número podría crecer a medida que nuestra investigación continúa.
Estos sistemas abarcan múltiples organizaciones gubernamentales, sin ánimo de lucro y de tecnología de la información, todas ellas con sede en Ucrania", han explicado desde la empresa en un post en su blog.
Cómo funciona este malware
Microsoft está siguiendo estos ataques como DEV-0586. La designación "DEV" indica que se trata de "un nombre temporal dado a una actividad de amenaza desconocida, emergente o en desarrollo". Se dice que el malware de DEV-0586 funciona en dos etapas. La primera etapa del malware sobrescribe el Master Boot Record, que Microsoft describe como "la parte de un disco duro que indica al ordenador cómo cargar su sistema operativo", con la siguiente nota de rescate:
Su disco duro ha sido corrompido.
En caso de que quiera recuperar todos los discos duros de su organización,
debe pagarnos 10 mil dólares a través de la cartera de …