Threat Database Malware WhisperGate

WhisperGate

WhisperGate é um limpador MBR (Master Boot Record) ameaçador, que se apresenta como um ransomware. O malware é capaz de devastar as máquinas infectadas completamente, deixando-os incapazes de inicializar. A ameaça foi descoberta em 13 de janeiro de 2022 pelos pesquisadores do Centro de Inteligência de Ameaças da Microsoft, que notaram a atividade incomum em vários sistemas na Ucrânia. Um especialista local em segurança cibernética compartilhou com a Associated Press que os invasores provavelmente conseguiram infectar a rede do governo por meio de um ataque à cadeia de suprimentos.

Até agora, o ataque não pode ser atribuído a nenhum dos grupos de APT (Advanced Persistent Threat) conhecidos com confiança, então os pesquisadores acreditam que foi realizado por um novo autor na cena do crime cibernético. Os invasores conseguiram comprometer vários computadores pertencentes a várias organizações governamentais, sem fins lucrativos e de tecnologia da informação. Representantes ucranianos afirmaram acreditar que a Rússia está por trás do ataque. Esta pode parecer uma conclusão provável tendo em conta a situação geopolítica da região.

Estágio 1 da Operação WhisperGate

O malware WhisperGate é descartado nos sistemas comprometidos em um dos diretórios C:\PerfLogs, C:\ProgramData, C:\ e C:\temp como um arquivo chamado 'stage1.exe.' Para desviar a atenção de seu verdadeiro propósito, o WhisperGate adota várias características normalmente observadas em ameaças de ransomware. Ele entrega uma nota de resgate alegando que os invasores querem receber US$10.000 em Bitcoin. O dinheiro deve ser transferido para o endereço da carteira de criptografia fornecido. A nota menciona que as vítimas podem entrar em contato com os hackers por meio do Tox ID for Tox fornecido, um protocolo de mensagens criptografadas. No entanto, quando a máquina infectada é desligada, o WhisperGate substitui seu registro MBR, que é a parte do disco rígido que permite o carregamento adequado do sistema operacional.

Ao destruir o MBR, o WhisperGate bloqueia o sistema efetivamente e faz qualquer tentativa de restaurar os dados nele fadados ao fracasso, mesmo pelos próprios invasores. Isso vai contra o objetivo de qualquer operação de ransomware, pois os cibercriminosos não serão pagos se não puderem garantir às vítimas que os arquivos afetados podem ser devolvidos ao seu estado anterior com segurança. Existem outros sinais de que a parte do ransomware é usada apenas para encobrir as verdadeiras intenções dos invasores.

Estágio 2 do WhisperGate

No segundo estágio do ataque, um novo malware corrompido de arquivo dedicado é implantado no dispositivo violado. Um arquivo chamado 'stage2.exe' atua como um downloader que busca o arquivo corrompido de um canal Discord. O link de download é codificado no próprio downloader. Depois que a carga útil é executada, ela verifica diretórios específicos no sistema em busca de arquivos que correspondam a uma lista de mais de 180 extensões diferentes. O conteúdo de todos os arquivos visados será substituído por um número fixo de bytes 0xCC. O tamanho total dos arquivos definidos para a ação é de 1 MB. Depois de embaralhar os arquivos, o corruptor mudará seus nomes originais adicionando uma extensão aleatória de quatro bytes.

O texto da suposta nota de resgate é:

'Seu disco rígido foi corrompido.
Caso você queira recuperar todos os discos rígidos
da sua organização,
Você deve nos pagar $ 10k via carteira bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv e enviar mensagem via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
com o nome da sua organização.
Entraremos em contato para dar mais instruções.
'

Postagens Relacionadas

Tendendo

Mais visto

Carregando...