WhisperGate

WhisperGate एक खतरनाक एमबीआर (मास्टर बूट रिकॉर्ड) वाइपर है जो रैंसमवेयर के रूप में प्रस्तुत होता है। मैलवेयर संक्रमित मशीनों को तबाह करने में सक्षम हैपूरी तरह से, उन्हें बूट करने में भी असमर्थ छोड़ रहा है। खतरे की खोज 13 जनवरी, 2022 को माइक्रोसॉफ्ट के थ्रेट इंटेलिजेंस सेंटर के शोधकर्ताओं ने की थी, जिन्होंने यूक्रेन में कई प्रणालियों पर असामान्य गतिविधि पर ध्यान दिया था। एक स्थानीय साइबर सुरक्षा विशेषज्ञ ने एसोसिएटेड प्रेस के साथ साझा किया कि हमलावरों ने आपूर्ति-श्रृंखला हमले के माध्यम से सरकारी नेटवर्क को संक्रमित करने में कामयाबी हासिल की।

अब तक, हमले के लिए किसी भी ज्ञात एपीटी (एडवांस पर्सिस्टेंट थ्रेट) समूह को जिम्मेदार नहीं ठहराया जा सकता है।आत्मविश्वास से, इसलिए शोधकर्ताओं का मानना है कि इसे साइबर अपराध के दृश्य पर एक नए अभिनेता द्वारा अंजाम दिया गया था। हमलावर कई सरकारी, गैर-लाभकारी और सूचना प्रौद्योगिकी संगठनों से संबंधित कई कंप्यूटरों से समझौता करने में कामयाब रहे। यूक्रेन के प्रतिनिधियों ने कहा है कि उनका मानना है कि हमले के पीछे रूस का हाथ है। यह क्षेत्र में भू-राजनीतिक स्थिति को ध्यान में रखते हुए एक संभावित निष्कर्ष के रूप में प्रकट हो सकता है।

WhisperGate ऑपरेशन का चरण 1

WhisperGate मैलवेयर C:\PerfLogs, C:\ProgramData, C:\, और C:\temp निर्देशिकाओं में से किसी एक में 'stage1.exe' नाम की फ़ाइल के रूप में समझौता किए गए सिस्टम पर गिरा दिया जाता है। अपने वास्तविक उद्देश्य से ध्यान हटाने के लिए, WhisperGate कई विशेषताओं को अपनाता है जो आमतौर पर रैंसमवेयर खतरों में देखी जाती हैं। यह एक फिरौती नोट देता है जिसमें दावा किया गया है कि हमलावर बिटकॉइन में $ 10,000 का भुगतान करना चाहते हैं। पैसा प्रदान किए गए क्रिप्टो-वॉलेट पते पर स्थानांतरित किया जाना चाहिए। नोट में उल्लेख किया गया है कि पीड़ित एक एन्क्रिप्टेड मैसेजिंग प्रोटोकॉल, Tox के लिए प्रदान की गई Tox ID के माध्यम से हैकर्स से संपर्क कर सकते हैं। हालांकि, जब संक्रमित मशीन बंद हो जाती है, तो व्हिस्परगेट अपने एमबीआर रिकॉर्ड को अधिलेखित कर देता है, जो कि हार्ड ड्राइव का वह हिस्सा है जो ऑपरेटिंग सिस्टम के उचित लोडिंग को सक्षम बनाता है।

एमबीआर को नष्ट करके, व्हिस्परगेट सिस्टम को तोड़ देता हैप्रभावी ढंग से और उस पर डेटा को पुनर्स्थापित करने के लिए कोई भी प्रयास विफल होने के लिए बर्बाद हो जाता है, यहां तक कि हमलावरों द्वारा भी। यह किसी भी रैंसमवेयर ऑपरेशन के लक्ष्य के खिलाफ जाता है क्योंकि साइबर अपराधियों को भुगतान नहीं मिलेगा यदि वे पीड़ितों को आश्वस्त नहीं कर सकते कि प्रभावित फाइलों को उनकी पिछली स्थिति में वापस किया जा सकता है।सुरक्षित रूप से। अन्य संकेत हैं कि रैंसमवेयर भाग का उपयोग केवल हमलावरों के सच्चे इरादों को कवर करने के लिए किया जाता है।

WhisperGate का चरण 2

हमले के दूसरे चरण में, क्षतिग्रस्त डिवाइस पर एक नई समर्पित फ़ाइल दूषित मैलवेयर तैनात किया गया है। 'stage2.exe' नाम की एक फ़ाइल एक डाउनलोडर के रूप में कार्य करती है जो एक डिस्कॉर्ड चैनल से फ़ाइल भ्रष्ट को प्राप्त करती है। डाउनलोड लिंक को डाउनलोडर में ही हार्डकोड किया जाता है। एक बार पेलोड निष्पादित हो जाने के बाद, यह 180 से अधिक विभिन्न एक्सटेंशन की सूची से मेल खाने वाली फाइलों के लिए सिस्टम पर विशिष्ट निर्देशिकाओं को स्कैन करता है। सभी लक्षित फ़ाइलों की सामग्री को 0xCC बाइट्स की एक निश्चित संख्या के साथ अधिलेखित कर दिया जाएगा। कार्रवाई के लिए निर्धारित कुल फ़ाइल आकार 1MB है। फाइलों को खंगालने के बाद, भ्रष्ट चार-बाइट एक यादृच्छिक विस्तार जोड़कर अपने मूल नाम बदल देगा।

कथित फिरौती नोट का पाठ है:

' आपकी हार्ड ड्राइव दूषित हो गई है।
यदि आप सभी हार्ड ड्राइव को पुनर्प्राप्त करना चाहते हैं
आपके संगठन का,
आपको बिटकॉइन वॉलेट के माध्यम से हमें $10k का भुगतान करना चाहिए
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv और के माध्यम से संदेश भेजें
टॉक्स आईडी 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
अपने संगठन के नाम के साथ।
आगे के निर्देश देने के लिए हम आपसे संपर्क करेंगे। '