WhisperGate

WhisperGate عبارة عن ممسحة MBR (Master Boot Record) مهددة تتظاهر بأنها برامج الفدية. البرمجيات الخبيثة قادرة على تدمير الأجهزة المصابةتمامًا ، مما يجعلهم غير قادرين على التمهيد. تم اكتشاف التهديد في 13 يناير 2022 من قبل الباحثين في مركز ذكاء التهديدات التابع لشركة Microsoft ، الذين لاحظوا نشاطًا غير عادي على أنظمة متعددة في أوكرانيا. شارك خبير محلي في الأمن السيبراني وكالة أسوشيتد برس بأن المهاجمين تمكنوا على الأرجح من إصابة الشبكة الحكومية من خلال هجوم على سلسلة التوريد.

حتى الآن ، لا يمكن أن يُعزى الهجوم إلى أي من مجموعات APT (التهديد المستمر المتقدم) المعروفةبثقة ، لذلك يعتقد الباحثون أنه تم تنفيذه بواسطة فاعل جديد في مسرح الجريمة الإلكترونية. تمكن المهاجمون من اختراق العديد من أجهزة الكمبيوتر التابعة للعديد من المنظمات الحكومية وغير الهادفة للربح وتكنولوجيا المعلومات. صرح ممثلو أوكرانيا بأنهم يعتقدون أن روسيا وراء الهجوم. قد يبدو هذا بمثابة استنتاج محتمل مع الأخذ في الاعتبار الوضع الجيوسياسي في المنطقة.

المرحلة الأولى من عملية WhisperGate

يتم إسقاط برنامج WhisperGate الضار على الأنظمة المخترقة في أحد الدلائل C: \ PerfLogs و C: \ ProgramData و C: \ و C: \ temp كملف يسمى "stage1.exe." لإبعاد الانتباه عن هدفه الحقيقي ، يتبنى WhisperGate العديد من الخصائص التي يتم ملاحظتها عادةً في تهديدات برامج الفدية. يسلم مذكرة فدية تدعي أن المهاجمين يريدون أن يحصلوا على 10000 دولار من البيتكوين. من المفترض أن يتم تحويل الأموال إلى عنوان المحفظة المشفرة المقدم. تشير المذكرة إلى أنه يجوز للضحايا الاتصال بالمخترقين عبر معرف Tox المقدم لـ Tox ، وهو بروتوكول مراسلة مشفر. ومع ذلك ، عند إيقاف تشغيل الجهاز المصاب ، يقوم WhisperGate بالكتابة فوق سجل MBR الخاص به ، وهو جزء من محرك الأقراص الثابتة يتيح التحميل المناسب لنظام التشغيل.

من خلال تدمير MBR ، يقوم WhisperGate ببناء النظامبشكل فعال ويقوم بأي محاولات لاستعادة البيانات الموجودة عليها محكوم عليها بالفشل ، حتى من قبل المهاجمين أنفسهم. يتعارض هذا مع الهدف المتمثل في أي عملية من برامج الفدية حيث لن يتم الدفع لمجرمي الإنترنت إذا لم يتمكنوا من طمأنة الضحايا أنه يمكن إرجاع الملفات المتأثرة إلى حالتها السابقةبأمان. هناك دلائل أخرى على أن جزء برنامج الفدية يستخدم فقط كغطاء للنوايا الحقيقية للمهاجمين.

مرحلة WhisperGate 2

في المرحلة الثانية من الهجوم ، يتم نشر ملف مخصص جديد تالف البرمجيات الخبيثة على الجهاز المخترق. يعمل الملف المسمى "stage2.exe" كبرنامج تنزيل يقوم بجلب مفسد الملف من قناة Discord. رابط التنزيل مشفر بشكل ثابت في أداة التنزيل نفسها. بمجرد تنفيذ الحمولة ، يقوم بمسح أدلة معينة على النظام بحثًا عن الملفات التي تطابق قائمة تضم أكثر من 180 امتدادًا مختلفًا. ستتم الكتابة فوق محتويات جميع الملفات المستهدفة بعدد ثابت من بايتات 0xCC. الحجم الإجمالي للملفات المعينة للإجراء هو 1 ميغا بايت. بعد خلط الملفات ، سيغير المفسد أسمائها الأصلية بإضافة امتداد عشوائي رباعي البايت.

نص مذكرة الفدية المفترضة هو:

القرص الصلب الخاص بك تالف.
في حال كنت ترغب في استعادة جميع محركات الأقراص الثابتة
لمنظمتك ،
يجب أن تدفع لنا 10 آلاف دولار عبر محفظة البيتكوين
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv وإرسال رسالة عبر
معرف توكس 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
باسم مؤسستك.
سوف نتصل بك لإعطاء مزيد من التعليمات. "