WhisperGate

WhisperGate — это угрожающий очиститель MBR (главной загрузочной записи), выдающий себя за программу-вымогатель. Вредоносная программа способна разрушать зараженные машиныполностью, в результате чего они не могут даже загрузиться. Угроза была обнаружена 13 января 2022 года исследователями Microsoft Threat Intelligence Center, которые заметили необычную активность на нескольких системах в Украине. Местный эксперт по кибербезопасности сообщил Associated Press, что злоумышленникам, скорее всего, удалось заразить правительственную сеть посредством атаки на цепочку поставок.

Пока что атаку нельзя отнести ни к одной из известных групп APT (Advanced Persistent Threat).уверенно, поэтому исследователи считают, что ее осуществил новый участник киберпреступности. Злоумышленникам удалось скомпрометировать множество компьютеров, принадлежащих нескольким государственным, некоммерческим организациям и организациям, занимающимся информационными технологиями. Украинские представители заявили, что считают, что за атакой стоит Россия. Такой вывод может показаться вероятным, учитывая геополитическую ситуацию в регионе.

Этап 1 операции WhisperGate

Вредоносное ПО WhisperGate размещается на скомпрометированных системах в одном из каталогов C:\PerfLogs, C:\ProgramData, C:\ и C:\temp в виде файла с именем stage1.exe. Чтобы отвлечь внимание от своей истинной цели, WhisperGate использует несколько характеристик, обычно наблюдаемых в программах-вымогателях. Он доставляет записку с требованием выкупа, в которой утверждается, что злоумышленники хотят получить 10 000 долларов в биткойнах. Деньги должны быть переведены на указанный адрес крипто-кошелька. В примечании упоминается, что жертвы могут связаться с хакерами через предоставленный Tox ID для Tox, зашифрованного протокола обмена сообщениями. Однако, когда зараженная машина выключается, WhisperGate перезаписывает ее запись MBR, которая является частью жесткого диска, обеспечивающей правильную загрузку операционной системы.

Уничтожая MBR, WhisperGate блокирует системуэффективно и делает любые попытки восстановить данные на нем обреченными на провал, даже со стороны самих злоумышленников. Это противоречит цели любой операции с программами-вымогателями, поскольку киберпреступникам не заплатят, если они не смогут гарантировать жертвам, что затронутые файлы могут быть возвращены в их предыдущее состояние.безопасно. Есть и другие признаки того, что программа-вымогатель используется только для сокрытия истинных намерений злоумышленников.

Этап 2 WhisperGate

На втором этапе атаки на взломанном устройстве развертывается новое вредоносное ПО, поврежденное в выделенном файле. Файл с именем «stage2.exe» действует как загрузчик, который извлекает средство повреждения файлов с канала Discord. Ссылка для скачивания жестко закодирована в самом загрузчике. Как только полезная нагрузка выполняется, она сканирует определенные каталоги в системе на наличие файлов, соответствующих списку из более чем 180 различных расширений. Содержимое всех целевых файлов будет перезаписано фиксированным числом байтов 0xCC. Общий размер файлов, установленных для действия, составляет 1 МБ. После скремблирования файлов развратник изменит их исходные имена, добавив случайное четырехбайтное расширение.

Текст предполагаемой записки о выкупе:

« Ваш жесткий диск поврежден.
Если вы хотите восстановить все жесткие диски
вашей организации,
Вы должны заплатить нам 10 тысяч долларов через биткойн-кошелек.
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv и отправить сообщение через
идентификатор токсина 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
с названием вашей организации.
Мы свяжемся с вами, чтобы дать дальнейшие инструкции. '