WhisperGate

WhisperGate je hrozivý stěrač MBR (Master Boot Record), který se vydává za ransomware. Malware je schopen devastovat infikované strojeúplně, takže nemohou ani nastartovat. Hrozbu objevili 13. ledna 2022 výzkumníci z Threat Intelligence Center společnosti Microsoft, kteří si všimli neobvyklé aktivity na několika systémech na Ukrajině. Místní expert na kybernetickou bezpečnost sdělil agentuře Associated Press, že útočníkům se s největší pravděpodobností podařilo infikovat vládní síť prostřednictvím útoku na dodavatelský řetězec.

Útok zatím nelze připsat žádné ze známých skupin APT (Advanced Persistent Threat).sebevědomě, takže vědci věří, že to provedl nový hráč na scéně počítačové kriminality. Útočníkům se podařilo kompromitovat řadu počítačů patřících několika vládním, neziskovým organizacím a organizacím zabývajícím se informačními technologiemi. Ukrajinští představitelé uvedli, že se domnívají, že za útokem stojí Rusko. To se může jevit jako pravděpodobný závěr s ohledem na geopolitickou situaci v regionu.

Fáze 1 operace WhisperGate

Malware WhisperGate je vypuštěn na napadené systémy v jednom z adresářů C:\PerfLogs, C:\ProgramData, C:\ a C:\temp jako soubor s názvem 'stage1.exe'. Aby WhisperGate odvrátil pozornost od svého skutečného účelu, přebírá několik charakteristik, které se obvykle vyskytují u ransomwarových hrozeb. Doručuje výkupné, které tvrdí, že útočníci chtějí dostat 10 000 $ v bitcoinech. Peníze mají být převedeny na poskytnutou adresu kryptopeněženky. Poznámka uvádí, že oběti mohou kontaktovat hackery prostřednictvím poskytnutého Tox ID pro Tox, šifrovaného protokolu pro zasílání zpráv. Po vypnutí infikovaného počítače však WhisperGate přepíše svůj MBR záznam, což je část pevného disku, která umožňuje správné načtení operačního systému.

Zničením MBR WhisperGate blokuje systémefektivně a provádí jakékoli pokusy o obnovu dat na něm odsouzených k neúspěchu, a to i samotnými útočníky. To je v rozporu s cílem jakékoli operace ransomwaru, protože kyberzločinci nedostanou zaplaceno, pokud nemohou ujistit oběti, že postižené soubory lze vrátit do předchozího stavu.bezpečně. Existují další známky toho, že část ransomwaru se používá pouze jako zakrytí skutečných úmyslů útočníků.

WhisperGate's Fáze 2

Ve druhé fázi útoku je na napadené zařízení nasazen nový vyhrazený soubor poškozený malware. Soubor s názvem 'stage2.exe' funguje jako stahovací program, který stahuje poškozovač souborů z kanálu Discord. Odkaz ke stažení je pevně zakódován do samotného stahovacího programu. Jakmile je užitečné zatížení spuštěno, prohledá konkrétní adresáře v systému a vyhledá soubory odpovídající seznamu více než 180 různých přípon. Obsah všech cílových souborů bude přepsán pevným počtem 0xCC bajtů. Celková velikost souborů nastavená pro akci je 1 MB. Po zakódování souborů korupčník změní jejich původní názvy přidáním náhodné čtyřbajtové přípony.

Text předpokládaného výkupného je:

' Váš pevný disk byl poškozen.
V případě, že chcete obnovit všechny pevné disky
vaší organizace,
Měli byste nám zaplatit 10 000 $ prostřednictvím bitcoinové peněženky
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv a odeslat zprávu přes
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
s názvem vaší organizace.
Budeme vás kontaktovat, abychom vám poskytli další pokyny. '