WhisperGate

WhisperGate, fidye yazılımı gibi görünen tehditkar bir MBR (Ana Önyükleme Kaydı) silicisidir. Kötü amaçlı yazılım, virüslü makineleri mahvedebilirtamamen, onları önyükleme bile yapamıyorlar. Tehdit, Microsoft'un Tehdit İstihbarat Merkezi'ndeki araştırmacılar tarafından 13 Ocak 2022'de keşfedildi ve Ukrayna'daki birden fazla sistemdeki olağandışı etkinliği fark etti. Yerel bir siber güvenlik uzmanı, saldırganların büyük olasılıkla bir tedarik zinciri saldırısı yoluyla hükümet ağına bulaşmayı başardığını Associated Press ile paylaştı.

Şimdiye kadar, saldırı bilinen APT (Gelişmiş Kalıcı Tehdit) gruplarından hiçbirine atfedilemez.güvenle, bu yüzden araştırmacılar siber suç mahallinde yeni bir aktör tarafından gerçekleştirildiğine inanıyorlar. Saldırganlar, birden fazla devlet, kar amacı gütmeyen ve bilgi teknolojisi kuruluşuna ait çok sayıda bilgisayarın güvenliğini aşmayı başardı. Ukraynalı temsilciler, saldırının arkasında Rusya'nın olduğuna inandıklarını belirttiler. Bu, bölgedeki jeopolitik durum göz önüne alındığında olası bir sonuç gibi görünebilir.

WhisperGate Operasyonunun 1. Aşaması

WhisperGate kötü amaçlı yazılımı, güvenliği ihlal edilmiş sistemlere C:\PerfLogs, C:\ProgramData, C:\ ve C:\temp dizinlerinden birinde 'stage1.exe' adlı bir dosya olarak bırakılır. Dikkatleri gerçek amacından uzaklaştırmak için WhisperGate, fidye yazılımı tehditlerinde tipik olarak gözlemlenen birkaç özelliği benimser. Saldırganların Bitcoin olarak 10.000 $ ödenmesini istediğini iddia eden bir fidye notu verir. Paranın sağlanan kripto cüzdan adresine aktarılması gerekiyor. Not, kurbanların, şifreli bir mesajlaşma protokolü olan Tox için sağlanan Tox Kimliği aracılığıyla bilgisayar korsanlarıyla iletişim kurabileceklerinden bahseder. Ancak, virüslü makine kapatıldığında, WhisperGate, sabit sürücünün işletim sisteminin doğru şekilde yüklenmesini sağlayan parçası olan MBR kaydının üzerine yazar.

MBR'yi yok ederek, WhisperGate sistemi tuğlalaretkili bir şekilde ve üzerindeki verileri geri yükleme girişimleri, saldırganların kendileri tarafından bile başarısız olmaya mahkumdur. Bu, herhangi bir fidye yazılımı operasyonunun amacına aykırıdır, çünkü siber suçlular, etkilenen dosyaların önceki durumlarına geri döndürülebileceklerini mağdurlara garanti edemezlerse ödeme almayacaklardır.güvenli bir şekilde. Fidye yazılımı bölümünün yalnızca saldırganların gerçek niyetlerini örtbas etmek için kullanıldığına dair başka işaretler de var.

WhisperGate'in 2. Aşaması

Saldırının ikinci aşamasında, ihlal edilen cihaza yeni bir adanmış dosya bozuk kötü amaçlı yazılım dağıtılır. 'Stage2.exe' adlı bir dosya, bir Discord kanalından dosya bozucuyu getiren bir indirici görevi görür. İndirme bağlantısı, indiricinin kendisine sabit kodlanmıştır. Yük yürütüldüğünde, 180'den fazla farklı uzantıdan oluşan bir listeyle eşleşen dosyalar için sistemdeki belirli dizinleri tarar. Tüm hedeflenen dosyaların içeriğinin üzerine sabit sayıda 0xCC bayt yazılacaktır. Eylem için ayarlanan toplam dosya boyutu 1 MB'dir. Dosyaları karıştırdıktan sonra, bozucu, rastgele dört baytlık bir uzantı ekleyerek orijinal adlarını değiştirecektir.

Sözde fidye notunun metni:

' Sabit sürücünüz bozulmuş.
Tüm sabit sürücüleri kurtarmak istemeniz durumunda
kuruluşunuzun,
Bitcoin cüzdanı aracılığıyla bize 10 bin dolar ödemelisin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv ile mesaj gönderin
toksin kimliği 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
kuruluşunuzun adı ile.
Daha fazla talimat vermek için sizinle iletişime geçeceğiz. '