WhisperGate
WhisperGate is een dreigende MBR-wisser (Master Boot Record) die zich voordoet als ransomware. De malware kan de geïnfecteerde machines vernietigenvolledig, waardoor ze niet eens kunnen opstarten. De dreiging werd op 13 januari 2022 ontdekt door de onderzoekers van Microsoft's Threat Intelligence Center, die de ongebruikelijke activiteit op meerdere systemen in Oekraïne opmerkten. Een lokale cybersecurity-expert deelde met de Associated Press dat de aanvallers er hoogstwaarschijnlijk in geslaagd zijn om het overheidsnetwerk te infecteren via een supply chain-aanval.
Tot nu toe kan de aanval niet worden toegeschreven aan een van de bekende APT-groepen (Advanced Persistent Threat)vol vertrouwen, dus de onderzoekers denken dat het is uitgevoerd door een nieuwe acteur op de cybercrime-scene. De aanvallers slaagden erin talloze computers van meerdere overheids-, non-profit- en informatietechnologie-organisaties te compromitteren. Oekraïense vertegenwoordigers hebben verklaard dat ze denken dat Rusland achter de aanval zit. Gezien de geopolitieke situatie in de regio lijkt dit een waarschijnlijke conclusie.
Fase 1 van de WhisperGate-operatie
De WhisperGate-malware wordt op de besmette systemen gedropt in een van de mappen C:\PerfLogs, C:\ProgramData, C:\ en C:\temp als een bestand met de naam 'stage1.exe'. Om de aandacht van zijn ware doel af te leiden, neemt WhisperGate verschillende kenmerken over die doorgaans worden waargenomen bij ransomware-bedreigingen. Het levert een losgeldbriefje af waarin wordt beweerd dat de aanvallers $ 10.000 in Bitcoin willen ontvangen. Het geld wordt verondersteld te worden overgemaakt naar het opgegeven crypto-wallet-adres. De notitie vermeldt dat slachtoffers contact kunnen opnemen met de hackers via de verstrekte Tox ID voor Tox, een versleuteld berichtenprotocol. Wanneer de geïnfecteerde machine echter wordt uitgeschakeld, overschrijft WhisperGate zijn MBR-record, het deel van de harde schijf dat het besturingssysteem correct kan laden.
Door de MBR te vernietigen, blokkeert WhisperGate het systeemen doet elke poging om de gegevens erop te herstellen gedoemd te mislukken, zelfs door de aanvallers zelf. Dit druist in tegen het doel van elke ransomware-operatie, aangezien de cybercriminelen niet worden betaald als ze de slachtoffers niet kunnen verzekeren dat de getroffen bestanden kunnen worden teruggezet naar hun vorige staat.veilig. Er zijn andere tekenen dat het ransomware-gedeelte alleen wordt gebruikt als dekmantel voor de ware bedoelingen van de aanvallers.
Fase 2 van WhisperGate
In de tweede fase van de aanval wordt een nieuw speciaal bestand corrupte malware ingezet op het geschonden apparaat. Een bestand met de naam 'stage2.exe' fungeert als een downloader die de bestandscorrupter ophaalt van een Discord-kanaal. De downloadlink is hard gecodeerd in de downloader zelf. Zodra de payload is uitgevoerd, scant het specifieke mappen op het systeem op bestanden die overeenkomen met een lijst van meer dan 180 verschillende extensies. De inhoud van alle gerichte bestanden wordt overschreven met een vast aantal 0xCC bytes. De totale bestandsgrootte die voor de actie is ingesteld, is 1 MB. Na het versleutelen van de bestanden, zal de corrupter hun oorspronkelijke namen veranderen door een willekeurige extensie van vier bytes toe te voegen.
De tekst van de veronderstelde losgeldbrief is:
' Uw harde schijf is beschadigd.
Als u alle harde schijven wilt herstellen
van uw organisatie,
U moet ons $ 10k betalen via een bitcoin-portemonnee
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv en stuur bericht via
tox-ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
met uw organisatienaam.
We nemen contact met je op voor verdere instructies. '
