WhisperGate

WhisperGate to groźny program do wycierania MBR (Master Boot Record) udający oprogramowanie ransomware. Złośliwe oprogramowanie może niszczyć zainfekowane maszynycałkowicie, uniemożliwiając im nawet rozruch. Zagrożenie zostało wykryte 13 stycznia 2022 r. przez badaczy z Threat Intelligence Center firmy Microsoft, którzy zauważyli niezwykłą aktywność w wielu systemach na Ukrainie. Lokalny ekspert ds. cyberbezpieczeństwa podzielił się z Associated Press, że napastnikom najprawdopodobniej udało się zainfekować sieć rządową poprzez atak w łańcuchu dostaw.

Jak dotąd ataku nie można przypisać żadnej ze znanych grup APT (Advanced Persistent Threat)pewnie, więc naukowcy uważają, że dokonał go nowy aktor na scenie cyberprzestępczości. Osoby atakujące zdołały skompromitować wiele komputerów należących do wielu organizacji rządowych, organizacji non-profit i organizacji informatycznych. Przedstawiciele Ukrainy stwierdzili, że uważają, że za atakiem stoi Rosja. Może się to wydawać prawdopodobnym wnioskiem, mając na uwadze sytuację geopolityczną w regionie.

Etap 1 Operacji WhisperGate

Złośliwe oprogramowanie WhisperGate jest umieszczane na zaatakowanych systemach w jednym z katalogów C:\PerfLogs, C:\ProgramData, C:\ i C:\temp jako plik o nazwie „stage1.exe”. Aby odwrócić uwagę od prawdziwego celu, WhisperGate przyjmuje kilka cech charakterystycznych typowych dla zagrożeń ransomware. Dostarcza żądanie okupu, twierdząc, że napastnicy chcą otrzymać 10 000 USD w Bitcoin. Pieniądze mają zostać przelane na podany adres portfela kryptograficznego. W notatce wspomniano, że ofiary mogą kontaktować się z hakerami za pośrednictwem dostarczonego identyfikatora Tox dla Tox, szyfrowanego protokołu przesyłania wiadomości. Jednak po zamknięciu zainfekowanej maszyny WhisperGate nadpisuje jej rekord MBR, który jest częścią dysku twardego, która umożliwia prawidłowe ładowanie systemu operacyjnego.

Niszcząc MBR, WhisperGate zaburza systemskutecznie i podejmuje wszelkie próby przywrócenia danych na nim skazane na niepowodzenie, nawet przez samych atakujących. Jest to sprzeczne z celem jakiejkolwiek operacji ransomware, ponieważ cyberprzestępcy nie otrzymają zapłaty, jeśli nie mogą zapewnić ofiar, że zaatakowane pliki mogą zostać przywrócone do poprzedniego stanubezpiecznie. Istnieją inne oznaki, że część oprogramowania ransomware jest wykorzystywana tylko jako przykrywka prawdziwych intencji atakujących.

Etap 2 WhisperGate

W drugim etapie ataku na naruszone urządzenie zostaje wdrożone nowe, dedykowane złośliwe oprogramowanie z uszkodzonym plikiem. Plik o nazwie „stage2.exe” działa jako downloader, który pobiera uszkodzony plik z kanału Discord. Link do pobrania jest zakodowany w samym downloaderze. Po wykonaniu ładunku skanuje określone katalogi w systemie w poszukiwaniu plików pasujących do listy ponad 180 różnych rozszerzeń. Zawartość wszystkich docelowych plików zostanie zastąpiona stałą liczbą bajtów 0xCC. Całkowity rozmiar plików ustawiony dla akcji to 1MB. Po zaszyfrowaniu plików, uszkodzony zmieni swoje oryginalne nazwy, dodając losowe czterobajtowe rozszerzenie.

Tekst rzekomego okupu to:

' Twój dysk twardy został uszkodzony.
Jeśli chcesz odzyskać wszystkie dyski twarde
Twojej organizacji,
Powinieneś zapłacić nam 10 000 $ przez portfel bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv i wyślij wiadomość przez
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
z nazwą Twojej organizacji.
Skontaktujemy się z Tobą, aby udzielić dalszych instrukcji. '