WhisperGate

WhisperGate è un minaccioso wiper MBR (Master Boot Record) che si spaccia per ransomware. Il malware è in grado di devastare le macchine infettecompletamente, lasciandoli incapaci persino di avviarsi. La minaccia è stata scoperta il 13 gennaio 2022 dai ricercatori del Threat Intelligence Center di Microsoft, che hanno notato l'attività insolita su più sistemi in Ucraina. Un esperto di sicurezza informatica locale ha condiviso con l'Associated Press che gli aggressori molto probabilmente sono riusciti a infettare la rete del governo attraverso un attacco alla catena di approvvigionamento.

Finora, l'attacco non può essere attribuito a nessuno dei noti gruppi APT (Advanced Persistent Threat).con sicurezza, quindi i ricercatori ritengono che sia stato compiuto da un nuovo attore sulla scena del crimine informatico. Gli aggressori sono riusciti a compromettere numerosi computer appartenenti a più organizzazioni governative, senza scopo di lucro e informatiche. I rappresentanti ucraini hanno dichiarato di ritenere che dietro l'attacco ci sia la Russia. Questa può sembrare una conclusione probabile, tenendo conto della situazione geopolitica nella regione.

Fase 1 dell'operazione WhisperGate

Il malware WhisperGate viene rilasciato sui sistemi compromessi in una delle directory C:\PerfLogs, C:\ProgramData, C:\ e C:\temp come un file denominato "stage1.exe". Per distogliere l'attenzione dal suo vero scopo, WhisperGate adotta diverse caratteristiche tipicamente osservate nelle minacce ransomware. Fornisce una richiesta di riscatto in cui afferma che gli aggressori vogliono essere pagati $ 10.000 in Bitcoin. Il denaro dovrebbe essere trasferito all'indirizzo del cripto-portafoglio fornito. La nota menziona che le vittime possono contattare gli hacker tramite il Tox ID fornito per Tox, un protocollo di messaggistica crittografato. Tuttavia, quando la macchina infetta viene spenta, WhisperGate sovrascrive il suo record MBR, che è la parte del disco rigido che consente il corretto caricamento del sistema operativo.

Distruggendo l'MBR, WhisperGate blocca il sistemaefficacemente e rende ogni tentativo di ripristinare i dati su di esso destinato a fallire, anche dagli stessi aggressori. Ciò va contro l'obiettivo di qualsiasi operazione di ransomware in quanto i criminali informatici non verranno pagati se non possono assicurare alle vittime che i file interessati possono essere riportati allo stato precedentein sicurezza. Ci sono altri segni che la parte del ransomware viene utilizzata solo come copertura delle vere intenzioni degli aggressori.

Fase 2 di WhisperGate

Nella seconda fase dell'attacco, un nuovo malware danneggiato con file dedicato viene distribuito sul dispositivo violato. Un file denominato "stage2.exe" funge da downloader che recupera il file danneggiato da un canale Discord. Il link per il download è codificato nel downloader stesso. Una volta eseguito, il payload esegue la scansione di directory specifiche sul sistema alla ricerca di file corrispondenti a un elenco di oltre 180 estensioni diverse. Il contenuto di tutti i file di destinazione verrà sovrascritto con un numero fisso di byte 0xCC. La dimensione totale dei file impostata per l'azione è 1 MB. Dopo aver codificato i file, il corruttore cambierà i loro nomi originali aggiungendo un'estensione casuale di quattro byte.

Il testo della presunta richiesta di riscatto è:

' Il tuo disco rigido è stato danneggiato.
Nel caso in cui desideri ripristinare tutti i dischi rigidi
della tua organizzazione,
Dovresti pagarci $ 10k tramite il portafoglio bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv e invia un messaggio tramite
ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
con il nome della tua organizzazione.
Ti contatteremo per darti ulteriori istruzioni. '