WhisperGate

WhisperGate е заплашителен MBR (Master Boot Record) чистач, представящ се за ransomware. Зловредният софтуер е в състояние да унищожи заразените машининапълно, оставяйки ги неспособни дори да стартират. Заплахата беше открита на 13 януари 2022 г. от изследователите в Центъра за разузнаване на заплахите на Microsoft, които забелязаха необичайната активност върху множество системи в Украйна. Местен експерт по киберсигурност сподели пред Асошиейтед прес, че нападателите най-вероятно са успели да заразят правителствената мрежа чрез атака на веригата за доставки.

Досега атаката не може да бъде приписана на нито една от известните групи APT (Advanced Persistent Threat)уверено, така че изследователите смятат, че е извършено от нов актьор на сцената на киберпрестъпленията. Нападателите успяха да компрометират множество компютри, принадлежащи на множество правителствени, организации с нестопанска цел и информационни технологии. Украински представители заявиха, че смятат, че Русия стои зад атаката. Това може да изглежда като вероятен извод, като се има предвид геополитическата ситуация в региона.

Етап 1 от операцията WhisperGate

Зловредният софтуер WhisperGate се пуска на компрометираните системи в една от директориите C:\PerfLogs, C:\ProgramData, C:\ и C:\temp като файл с име 'stage1.exe.' За да отхвърли вниманието от истинската си цел, WhisperGate приема няколко характеристики, които обикновено се наблюдават при заплахите за рансъмуер. Той доставя бележка за откуп, в която се твърди, че нападателите искат да им бъдат платени 10 000 долара в биткойн. Парите трябва да бъдат преведени на предоставения адрес на крипто портфейла. В бележката се споменава, че жертвите могат да се свържат с хакерите чрез предоставения Tox ID за Tox, криптиран протокол за съобщения. Въпреки това, когато заразената машина бъде изключена, WhisperGate презаписва своя MBR запис, който е частта от твърдия диск, която позволява правилното зареждане на операционната система.

Унищожавайки MBR, WhisperGate блокира систематаефективно и прави всякакви опити за възстановяване на данните върху него обречени на неуспех, дори от самите нападатели. Това противоречи на целта на всяка операция за откуп, тъй като киберпрестъпниците няма да получат заплащане, ако не могат да уверят жертвите, че засегнатите файлове могат да бъдат върнати в предишното им състояниебезопасно. Има и други признаци, че частта за ransomware се използва само като прикриване на истинските намерения на нападателите.

Етап 2 на WhisperGate

Във втория етап на атаката нов специален файл, повреден злонамерен софтуер, се разполага на нарушеното устройство. Файл с име 'stage2.exe' действа като програма за изтегляне, която извлича повредения файл от канал на Discord. Връзката за изтегляне е твърдо кодирана в самата програма за изтегляне. След като полезният товар се изпълни, той сканира конкретни директории в системата за файлове, съответстващи на списък от над 180 различни разширения. Съдържанието на всички целеви файлове ще бъде презаписано с фиксиран брой 0xCC байта. Общият размер на файловете, зададен за действието, е 1MB. След кодиране на файловете, повредителят ще промени оригиналните им имена, като добави произволно разширение от четири байта.

Текстът на предполагаемата бележка за откуп е:

' Твърдият ви диск е повреден.
В случай, че искате да възстановите всички твърди дискове
на вашата организация,
Трябва да ни платите $10 000 чрез биткойн портфейл
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv и изпратете съобщение чрез
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
с името на вашата организация.
Ще се свържем с вас, за да дадем допълнителни инструкции. '