WhisperGate

WhisperGate 是一個冒充勒索軟件的威脅性 MBR（主引導記錄）擦除器。該惡意軟件能夠破壞受感染的機器完全，讓他們甚至無法啟動。微軟威脅情報中心的研究人員於 2022 年 1 月 13 日發現了該威脅，他們注意到烏克蘭多個系統上的異常活動。一位當地網絡安全專家與美聯社分享說，攻擊者很可能通過供應鏈攻擊成功感染了政府網絡。

到目前為止，該攻擊不能歸因於任何已知的 APT（高級持續威脅）組有信心，因此研究人員認為這是由網絡犯罪現場的新演員執行的。攻擊者設法破壞了屬於多個政府、非營利組織和信息技術組織的多台計算機。烏克蘭代表表示，他們認為俄羅斯是這次襲擊的幕後黑手。考慮到該地區的地緣政治局勢，這似乎是一個可能的結論。

WhisperGate 行動的第一階段

WhisperGate 惡意軟件以名為“stage1.exe”的文件的形式放置在 C:\PerfLogs、C:\ProgramData、C:\ 和 C:\temp 目錄之一中的受感染系統上。為了轉移人們對其真正目的的注意力，WhisperGate 採用了勒索軟件威脅中通常觀察到的幾個特徵。它提供了一張贖金票據，聲稱攻擊者希望獲得 10,000 美元的比特幣。這筆錢應該轉移到提供的加密錢包地址。該說明提到，受害者可以通過提供的 Tox ID for Tox（一種加密的消息傳遞協議）與黑客聯繫。但是，當受感染的機器關閉時，WhisperGate 會覆蓋其 MBR 記錄，這是硬盤驅動器中用於正確加載操作系統的部分。

通過破壞 MBR，WhisperGate 使系統變磚有效地進行任何嘗試恢復其上的數據的嘗試都注定要失敗，即使是攻擊者自己也是如此。這違背了任何勒索軟件操作的目標，因為如果網絡犯罪分子無法向受害者保證受影響的文件可以恢復到之前的狀態，他們將不會獲得報酬安全。還有其他跡象表明，勒索軟件部分只是用來掩蓋攻擊者的真實意圖。

WhisperGate 的第 2 階段

在攻擊的第二階段，一個新的專用文件損壞惡意軟件被部署在被破壞的設備上。名為“stage2.exe”的文件充當下載程序，從 Discord 頻道獲取文件損壞程序。下載鏈接被硬編碼到下載器本身。執行有效負載後，它會掃描系統上的特定目錄以查找與 180 多個不同擴展名列表匹配的文件。所有目標文件的內容將被固定數量的 0xCC 字節覆蓋。為操作設置的總文件大小為 1MB。加擾文件後，破壞者將通過添加隨機的四字節擴展名來更改其原始名稱。

假定的贖金票據的文本是：

'您的硬盤已損壞。
如果您想恢復所有硬盤驅動器
您的組織，
你應該通過比特幣錢包向我們支付 1 萬美元
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv 並通過發送消息
毒物 ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
與您的組織名稱。
我們將與您聯繫以提供進一步的指示。 '