WhisperGate

WhisperGate er en truende MBR (Master Boot Record) visker som utgir seg for å være løsepengevare. Skadevaren er i stand til å ødelegge de infiserte maskinenefullstendig, slik at de ikke en gang kan starte opp. Trusselen ble oppdaget 13. januar 2022 av forskerne ved Microsofts Threat Intelligence Center, som la merke til den uvanlige aktiviteten på flere systemer i Ukraina. En lokal cybersikkerhetsekspert delte med Associated Press at angriperne mest sannsynlig klarte å infisere regjeringsnettverket gjennom et forsyningskjedeangrep.

Så langt kan angrepet ikke tilskrives noen av de kjente APT-gruppene (Advanced Persistent Threat)selvsikkert, så forskerne tror at det ble utført av en ny aktør på nettkriminalitetsscenen. Angriperne klarte å kompromittere en rekke datamaskiner som tilhørte flere offentlige, ideelle organisasjoner og informasjonsteknologiorganisasjoner. Ukrainske representanter har uttalt at de mener Russland står bak angrepet. Dette kan fremstå som en sannsynlig konklusjon med tanke på den geopolitiske situasjonen i regionen.

Trinn 1 av WhisperGate-operasjonen

WhisperGate-malwaren slippes på de kompromitterte systemene i en av katalogene C:\PerfLogs, C:\ProgramData, C:\ og C:\temp som en fil kalt 'stage1.exe.' For å fjerne oppmerksomheten fra dens sanne hensikt, bruker WhisperGate flere egenskaper som vanligvis observeres i løsepengevaretrusler. Den leverer en løsepenge som hevder at angriperne ønsker å bli betalt $10 000 i Bitcoin. Pengene er ment å bli overført til den angitte kryptolommebokadressen. Notatet nevner at ofre kan kontakte hackerne via den oppgitte Tox ID for Tox, en kryptert meldingsprotokoll. Men når den infiserte maskinen slås av, overskriver WhisperGate MBR-posten, som er den delen av harddisken som muliggjør riktig lasting av operativsystemet.

Ved å ødelegge MBR, mursteiner WhisperGate systemeteffektivt og gjør alle forsøk på å gjenopprette dataene på den som er dømt til å mislykkes, selv av angriperne selv. Dette strider mot målet med enhver løsepengevareoperasjon, da nettkriminelle ikke vil få betalt hvis de ikke kan forsikre ofrene om at de berørte filene kan returneres til deres tidligere tilstandtrygt. Det er andre tegn på at løsepengevare-delen bare brukes som en dekning av angripernes sanne intensjoner.

WhisperGates trinn 2

I den andre fasen av angrepet utplasseres en ny dedikert filskadet skadelig programvare på den ødelagte enheten. En fil med navnet 'stage2.exe' fungerer som en nedlaster som henter filkorrupteren fra en Discord-kanal. Nedlastingslenken er hardkodet inn i selve nedlasteren. Når nyttelasten er utført, skanner den spesifikke kataloger på systemet for filer som samsvarer med en liste med over 180 forskjellige utvidelser. Innholdet i alle målrettede filer vil bli overskrevet med et fast antall 0xCC byte. Den totale filstørrelsen som er angitt for handlingen er 1 MB. Etter å ha kryptert filene, vil korrupteren endre sine opprinnelige navn ved å legge til en tilfeldig fire-byte-utvidelse.

Teksten til den antatte løsepengenotaen er:

' Harddisken din er ødelagt.
I tilfelle du ønsker å gjenopprette alle harddisker
av organisasjonen din,
Du bør betale oss $10k via bitcoin-lommebok
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv og send melding via
gift-ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
med organisasjonsnavnet ditt.
Vi vil kontakte deg for å gi ytterligere instruksjoner. '