WhisperGate
WhisperGate on uhkaava MBR (Master Boot Record) -pyyhkijä, joka esiintyy kiristysohjelmana. Haittaohjelma pystyy tuhoamaan tartunnan saaneet koneetkokonaan, jolloin ne eivät voi edes käynnistyä. Uhan havaitsivat 13. tammikuuta 2022 Microsoftin Threat Intelligence Centerin tutkijat, jotka huomasivat epätavallisen toiminnan useissa järjestelmissä Ukrainassa. Paikallinen kyberturvallisuusasiantuntija kertoi Associated Pressille, että hyökkääjät onnistuivat todennäköisesti saastuttamaan hallituksen verkkoon toimitusketjuhyökkäyksen kautta.
Toistaiseksi hyökkäystä ei voida lukea minkään tunnetun APT-ryhmän (Advanced Persistent Threat) syyksi.itsevarmasti, joten tutkijat uskovat, että sen teki uusi toimija kyberrikospaikalla. Hyökkääjät onnistuivat murtautumaan useisiin tietokoneisiin, jotka kuuluivat useille valtion, voittoa tavoittelemattomille ja tietotekniikan organisaatioille. Ukrainan edustajat ovat ilmoittaneet uskovansa Venäjän olevan hyökkäyksen takana. Tämä saattaa vaikuttaa todennäköiseltä johtopäätökseltä alueen geopoliittisen tilanteen huomioon ottaen.
WhisperGate-toiminnan vaihe 1
WhisperGate-haittaohjelma pudotetaan vaarantuneisiin järjestelmiin johonkin C:\PerfLogs-, C:\ProgramData-, C:\- ja C:\temp-hakemistoista tiedostona nimeltä "stage1.exe". Kiinnittääkseen huomion todellisesta tarkoituksestaan WhisperGate ottaa käyttöön useita kiristysohjelmauhkissa tyypillisesti havaittuja ominaisuuksia. Se toimittaa lunnaita, joissa väitetään, että hyökkääjät haluavat saada 10 000 dollaria Bitcoinina. Rahat on tarkoitus siirtää annettuun kryptolompakko-osoitteeseen. Muistiossa mainitaan, että uhrit voivat ottaa yhteyttä hakkereihin toimitetun Tox ID:n kautta, joka on salattu viestintäprotokolla. Kuitenkin, kun tartunnan saanut kone suljetaan, WhisperGate ylikirjoittaa MBR-tietueensa, joka on kiintolevyn osa, joka mahdollistaa käyttöjärjestelmän oikean latauksen.
Tuhoamalla MBR:n WhisperGate estää järjestelmäntehokkaasti ja yrittää palauttaa sen tiedot, jotka on tuomittu epäonnistumaan, jopa hyökkääjien itsensä toimesta. Tämä on vastoin minkä tahansa kiristysohjelmaoperaation tavoitetta, koska verkkorikolliset eivät saa palkkaa, jos he eivät voi vakuuttaa uhreille, että vahingoittuneet tiedostot voidaan palauttaa aiempaan tilaan.turvallisesti. On muitakin merkkejä siitä, että kiristysohjelmaosaa käytetään vain hyökkääjien todellisten aikomusten peittelyyn.
WhisperGaten vaihe 2
Hyökkäyksen toisessa vaiheessa rikkoutuneelle laitteelle otetaan käyttöön uusi tiedosto, joka on vioittunut. Tiedosto nimeltä "stage2.exe" toimii latausohjelmana, joka hakee tiedoston vahingoittuneen Discord-kanavalta. Latauslinkki on koodattu itse latausohjelmaan. Kun hyötykuorma on suoritettu, se tarkistaa tietyt järjestelmän hakemistot löytääkseen tiedostoja, jotka vastaavat yli 180 eri laajennusta. Kaikkien kohdistettujen tiedostojen sisältö korvataan kiinteällä määrällä 0xCC-tavuja. Toiminnalle asetettu tiedostokoko on 1 Mt. Kun tiedostot on sekoitettu, vahingoittaja muuttaa niiden alkuperäiset nimet lisäämällä satunnaisen neljän tavun laajennuksen.
Oletetun lunnaattekstin teksti on:
' Kiintolevysi on vioittunut.
Jos haluat palauttaa kaikki kiintolevyt
organisaatiostasi,
Sinun pitäisi maksaa meille 10 000 dollaria bitcoin-lompakon kautta
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv ja lähetä viesti
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
organisaatiosi nimellä.
Otamme sinuun yhteyttä lisäohjeiden antamiseksi. '