WhisperGate

WhisperGate je nevaren brisalec MBR (Master Boot Record), ki se predstavlja kot ransomware. Zlonamerna programska oprema lahko uniči okužene strojepopolnoma, zaradi česar se ne morejo niti zagnati. Grožnjo so 13. januarja 2022 odkrili raziskovalci v Microsoftovem Threat Intelligence Center, ki so opazili nenavadno aktivnost na več sistemih v Ukrajini. Lokalni strokovnjak za kibernetsko varnost je za Associated Press povedal, da je napadalcem najverjetneje uspelo okužiti vladno omrežje z napadom na dobavno verigo.

Zaenkrat napada ni mogoče pripisati nobeni od znanih skupin APT (Advanced Persistent Threat).samozavestno, zato raziskovalci verjamejo, da ga je izvedel nov akter na prizorišču kibernetskega kriminala. Napadalcem je uspelo ogroziti številne računalnike, ki pripadajo več vladnim, neprofitnim organizacijam in organizacijam za informacijsko tehnologijo. Ukrajinski predstavniki so izjavili, da verjamejo, da za napadom stoji Rusija. To se lahko zdi verjeten sklep glede na geopolitične razmere v regiji.

1. faza operacije WhisperGate

Zlonamerna programska oprema WhisperGate je spuščena na ogrožene sisteme v enem od imenikov C:\PerfLogs, C:\ProgramData, C:\ in C:\temp kot datoteka z imenom 'stage1.exe.' Da bi odvrnili pozornost od svojega pravega namena, WhisperGate sprejme več značilnosti, ki jih običajno opazimo pri grožnjah z izsiljevalsko programsko opremo. Posreduje odkupnino, v kateri trdi, da želijo napadalci biti plačani 10.000 $ v Bitcoin. Denar naj bi bil nakazan na navedeni naslov kriptodenarnice. Opomba omenja, da lahko žrtve stopijo v stik s hekerji prek priloženega Tox ID-ja za Tox, šifriranega protokola za sporočanje. Ko pa se okuženi stroj izklopi, WhisperGate prepiše svoj MBR zapis, ki je del trdega diska, ki omogoča pravilno nalaganje operacijskega sistema.

Z uničenjem MBR-ja WhisperGate uniči sistemučinkovito in vsak poskus obnovitve podatkov na njem obsojen na neuspeh, tudi s strani napadalcev samih. To je v nasprotju s ciljem kakršne koli operacije izsiljevalske programske opreme, saj kibernetski kriminalci ne bodo prejeli plačila, če žrtvam ne morejo zagotoviti, da se prizadete datoteke lahko vrnejo v prejšnje stanje.varno. Obstajajo tudi drugi znaki, da se del ransomware uporablja le kot prikrivanje resničnih namenov napadalcev.

2. faza WhisperGate

V drugi fazi napada se na poškodovani napravi namesti nova namenska zlonamerna programska oprema, ki je poškodovana. Datoteka z imenom 'stage2.exe' deluje kot prenosnik, ki pridobi poškodovano datoteko iz kanala Discord. Povezava za prenos je trdo kodirana v sam prenosnik. Ko se koristna obremenitev izvede, skenira določene imenike v sistemu za datoteke, ki se ujemajo s seznamom z več kot 180 različnimi razširitvami. Vsebina vseh ciljnih datotek bo prepisana s fiksnim številom bajtov 0xCC. Skupna velikost datotek, nastavljena za dejanje, je 1 MB. Po kodiranju datotek bo poškodovanec spremenil njihova izvirna imena z dodajanjem naključne štiribajtne razširitve.

Besedilo sporočila o domnevni odkupnini je:

' Vaš trdi disk je poškodovan.
V primeru, da želite obnoviti vse trde diske
vaše organizacije,
Plačati nam morate 10.000 $ prek denarnice za bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv in pošlji sporočilo prek
Tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
z imenom vaše organizacije.
Kontaktirali vas bomo za nadaljnja navodila. '