WhisperGate

WhisperGate er en truende MBR (Master Boot Record) visker, der udgiver sig for at være ransomware. Malwaren er i stand til at ødelægge de inficerede maskinerhelt, hvilket efterlader dem ude af stand til selv at starte. Truslen blev opdaget den 13. januar 2022 af forskerne ved Microsofts Threat Intelligence Center, som bemærkede den usædvanlige aktivitet på flere systemer i Ukraine. En lokal cybersikkerhedsekspert delte med Associated Press, at angriberne højst sandsynligt formåede at inficere regeringens netværk gennem et forsyningskædeangreb.

Indtil videre kan angrebet ikke tilskrives nogen af de kendte APT-grupper (Advanced Persistent Threat)selvsikkert, så forskerne mener, at det er udført af en ny aktør på cyberkriminalitetsscenen. Det lykkedes angriberne at kompromittere adskillige computere, der tilhørte flere offentlige, non-profit- og informationsteknologiske organisationer. Ukraines repræsentanter har udtalt, at de mener, at Rusland står bag angrebet. Dette kan forekomme som en sandsynlig konklusion med den geopolitiske situation i regionen i tankerne.

Trin 1 af WhisperGate Operationen

WhisperGate-malwaren droppes på de kompromitterede systemer i en af mapperne C:\PerfLogs, C:\ProgramData, C:\ og C:\temp som en fil med navnet 'stage1.exe'. For at fjerne opmærksomheden fra dets sande formål, anvender WhisperGate flere karakteristika, der typisk observeres i ransomware-trusler. Den leverer en løsesum, der hævder, at angriberne ønsker at blive betalt $10.000 i Bitcoin. Pengene formodes at blive overført til den angivne krypto-wallet-adresse. Notatet nævner, at ofre kan kontakte hackerne via det medfølgende Tox ID for Tox, en krypteret meddelelsesprotokol. Men når den inficerede maskine lukkes ned, overskriver WhisperGate sin MBR-record, som er den del af harddisken, der muliggør korrekt indlæsning af operativsystemet.

Ved at ødelægge MBR'en klodser WhisperGate systemeteffektivt og gør ethvert forsøg på at gendanne dataene på den, der er dømt til at mislykkes, selv af angriberne selv. Dette går imod målet med enhver ransomware-operation, da cyberkriminelle ikke vil blive betalt, hvis de ikke kan forsikre ofrene om, at de berørte filer kan returneres til deres tidligere tilstandsikkert. Der er andre tegn på, at ransomware-delen kun bruges som et dække over angribernes sande hensigter.

WhisperGates Stage 2

I den anden fase af angrebet installeres en ny dedikeret filbeskadiget malware på den brudte enhed. En fil ved navn 'stage2.exe' fungerer som en downloader, der henter filkorrupteren fra en Discord-kanal. Downloadlinket er hardkodet i selve downloaderen. Når nyttelasten er udført, scanner den specifikke mapper på systemet for filer, der matcher en liste med over 180 forskellige udvidelser. Indholdet af alle målrettede filer vil blive overskrevet med et fast antal 0xCC bytes. Den samlede filstørrelse, der er indstillet til handlingen, er 1 MB. Efter at have krypteret filerne, vil korrupteren ændre deres oprindelige navne ved at tilføje en tilfældig fire-byte udvidelse.

Teksten til den formodede løsesumseddel er:

' Din harddisk er blevet beskadiget.
I tilfælde af at du vil gendanne alle harddiske
af din organisation,
Du skal betale os $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv og send besked via
toks ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
med din organisations navn.
Vi vil kontakte dig for at give yderligere instruktioner. '