WhisperGate

WhisperGate është një fshirës kërcënues MBR (Master Boot Record) që paraqitet si ransomware. Malware është në gjendje të shkatërrojë makinat e infektuaraplotësisht, duke i lënë ata të paaftë as të nisin. Kërcënimi u zbulua më 13 janar 2022, nga studiuesit në Qendrën e Inteligjencës së Kërcënimeve të Microsoft, të cilët vunë re aktivitetin e pazakontë në sisteme të shumta në Ukrainë. Një ekspert lokal i sigurisë kibernetike ndau me Associated Press se sulmuesit me shumë gjasa arritën të infektonin rrjetin qeveritar përmes një sulmi të zinxhirit të furnizimit.

Deri më tani, sulmi nuk mund t'i atribuohet asnjë prej grupeve të njohura APT (Kërcënimi i Përparuar i Përparuar).me besim, kështu që studiuesit besojnë se ajo është kryer nga një aktor i ri në skenën e krimit kibernetik. Sulmuesit arritën të komprometonin shumë kompjuterë që i përkisnin shumë organizatave qeveritare, jofitimprurëse dhe të teknologjisë së informacionit. Përfaqësuesit ukrainas kanë deklaruar se besojnë se Rusia qëndron pas sulmit. Ky mund të duket si një përfundim i mundshëm duke pasur parasysh situatën gjeopolitike në rajon.

Faza 1 e Operacionit WhisperGate

Malware WhisperGate hidhet në sistemet e komprometuara në një nga drejtoritë C:\PerfLogs, C:\ProgramData, C:\ dhe C:\temp si një skedar i quajtur 'stage1.exe.' Për të tërhequr vëmendjen nga qëllimi i tij i vërtetë, WhisperGate miraton disa karakteristika që zakonisht vërehen në kërcënimet e ransomware. Ai jep një shënim shpërblimi që pretendon se sulmuesit duan të paguhen 10,000 dollarë në Bitcoin. Paratë supozohet të transferohen në adresën e dhënë të kripto-portofolit. Shënimi përmend se viktimat mund të kontaktojnë hakerët nëpërmjet ID-së Tox të ofruar për Tox, një protokoll i koduar i mesazheve. Megjithatë, kur pajisja e infektuar mbyllet, WhisperGate rishkruan rekordin e saj MBR, i cili është pjesa e hard disku që mundëson ngarkimin e duhur të sistemit operativ.

Duke shkatërruar MBR, WhisperGate krijon sisteminnë mënyrë efektive dhe bën çdo përpjekje për të rivendosur të dhënat mbi të të dënuara të dështojnë, madje edhe nga vetë sulmuesit. Kjo shkon kundër qëllimit të çdo operacioni ransomware pasi kriminelët kibernetikë nuk do të paguhen nëse nuk mund t'i sigurojnë viktimat që skedarët e prekur mund të kthehen në gjendjen e tyre të mëparshmenë mënyrë të sigurtë. Ka shenja të tjera që pjesa e ransomware përdoret vetëm si mbulim i qëllimeve të vërteta të sulmuesve.

Faza 2 e WhisperGate

Në fazën e dytë të sulmit, një skedar i ri i dedikuar i dëmtuar keqdashës vendoset në pajisjen e shkelur. Një skedar i quajtur 'stage2.exe' vepron si një shkarkues që merr korruptuesin e skedarit nga një kanal Discord. Lidhja e shkarkimit është e koduar në vetë shkarkuesin. Pasi ngarkesa të ekzekutohet, ajo skanon direktori specifike në sistem për skedarë që përputhen me një listë me mbi 180 shtesa të ndryshme. Përmbajtja e të gjithë skedarëve të synuar do të mbishkruhet me një numër fiks 0xCC bajt. Madhësia totale e skedarëve të vendosur për veprimin është 1 MB. Pas fërkimit të skedarëve, korruptuesi do të ndryshojë emrat e tyre origjinalë duke shtuar një shtesë të rastësishme prej katër bajtësh.

Teksti i shënimit të supozuar të shpërblimit është:

Hard disku juaj është dëmtuar.
Në rast se dëshironi të rikuperoni të gjithë disqet e ngurtë
të organizatës suaj,
Ju duhet të na paguani 10 mijë dollarë nëpërmjet portofolit bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv dhe dërgoni mesazh nëpërmjet
Tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
me emrin e organizatës suaj.
Ne do t'ju kontaktojmë për të dhënë udhëzime të mëtejshme. '