WhisperGate

WhisperGate är en hotfull MBR (Master Boot Record) torkare som poserar som ransomware. Skadlig programvara kan förstöra de infekterade maskinernahelt, vilket gör att de inte ens kan starta. Hotet upptäcktes den 13 januari 2022 av forskarna vid Microsofts Threat Intelligence Center, som märkte den ovanliga aktiviteten på flera system i Ukraina. En lokal cybersäkerhetsexpert delade med Associated Press att angriparna med största sannolikhet lyckades infektera det statliga nätverket genom en attack i leveranskedjan.

Hittills kan attacken inte tillskrivas någon av de kända APT-grupperna (Advanced Persistent Threat)med tillförsikt, så forskarna tror att det utfördes av en ny aktör på cyberbrottsscenen. Angriparna lyckades äventyra flera datorer som tillhörde flera statliga, ideella och informationsteknologiska organisationer. Ukrainska företrädare har förklarat att de tror att Ryssland ligger bakom attacken. Detta kan framstå som en trolig slutsats med tanke på den geopolitiska situationen i regionen.

Steg 1 av WhisperGate-operationen

WhisperGate skadlig programvara släpps på de komprometterade systemen i en av katalogerna C:\PerfLogs, C:\ProgramData, C:\ och C:\temp som en fil med namnet 'stage1.exe'. För att avleda uppmärksamheten från dess verkliga syfte, antar WhisperGate flera egenskaper som vanligtvis observeras i ransomware-hot. Den levererar en lösenseddel som hävdar att angriparna vill få betalt $10 000 i Bitcoin. Pengarna är tänkta att överföras till den angivna kryptoplånboksadressen. Anteckningen nämner att offer kan kontakta hackarna via det medföljande Tox ID for Tox, ett krypterat meddelandeprotokoll. Men när den infekterade maskinen stängs av skriver WhisperGate över sin MBR-post, som är den del av hårddisken som möjliggör korrekt laddning av operativsystemet.

Genom att förstöra MBR, murar WhisperGate systemeteffektivt och gör alla försök att återställa data på den dömda att misslyckas, även av angriparna själva. Detta går emot målet med någon ransomware-operation eftersom cyberbrottslingar inte kommer att få betalt om de inte kan försäkra offren att de drabbade filerna kan återföras till deras tidigare tillståndsäkert. Det finns andra tecken på att ransomware-delen endast används som en mörkläggning av angriparnas verkliga avsikter.

WhisperGates steg 2

I det andra steget av attacken distribueras en ny dedikerad fil skadad skadlig kod på den skadade enheten. En fil med namnet 'stage2.exe' fungerar som en nedladdare som hämtar filkorruptören från en Discord-kanal. Nedladdningslänken är hårdkodad i själva nedladdningsprogrammet. När nyttolasten har körts, skannar den specifika kataloger på systemet efter filer som matchar en lista med över 180 olika tillägg. Innehållet i alla riktade filer kommer att skrivas över med ett fast antal 0xCC byte. Den totala filstorleken som är inställd för åtgärden är 1 MB. Efter att ha förvrängt filerna kommer korruptören att ändra sina ursprungliga namn genom att lägga till en slumpmässig fyra-byte förlängning.

Texten i den förmodade lösennotan är:

' Din hårddisk har blivit skadad.
Om du vill återställa alla hårddiskar
av din organisation,
Du bör betala oss $10k via bitcoin-plånbok
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv och skicka meddelande via
tox-ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
med ditt organisationsnamn.
Vi kommer att kontakta dig för att ge ytterligare instruktioner. '