WhisperGate

WhisperGateは、ランサムウェアを装った脅迫的なMBR（マスターブートレコード）ワイパーです。マルウェアは、感染したマシンを破壊する可能性があります完全に、起動すらできないままにしておきます。この脅威は、2022年1月13日に、ウクライナの複数のシステムでの異常な活動に気付いたマイクロソフトの脅威インテリジェンスセンターの研究者によって発見されました。地元のサイバーセキュリティ専門家はAP通信と共有し、攻撃者はサプライチェーン攻撃を通じて政府のネットワークに感染した可能性が高いと述べました。

これまでのところ、攻撃は既知のAPT（Advanced Persistent Threat）グループのいずれにも起因するものではありません。自信を持って、研究者たちはそれがサイバー犯罪現場で新しい俳優によって実行されたと信じています。攻撃者は、複数の政府、非営利、および情報技術組織に属する多数のコンピューターを侵害することに成功しました。ウクライナの代表は、ロシアが攻撃の背後にいると信じていると述べた。これは、この地域の地政学的状況を念頭に置いた結論として思われるかもしれません。

WhisperGate操作のステージ1

WhisperGateマルウェアは、C：\ PerfLogs、C：\ ProgramData、C：\、およびC：\ tempディレクトリのいずれかの侵害されたシステムに「stage1.exe」という名前のファイルとしてドロップされます。 WhisperGateは、その真の目的から注意をそらすために、ランサムウェアの脅威で通常見られるいくつかの特性を採用しています。それは、攻撃者がビットコインで$ 10,000を支払われることを望んでいると主張する身代金メモを提供します。お金は提供された暗号ウォレットアドレスに送金されることになっています。このメモには、被害者が暗号化されたメッセージングプロトコルであるTox用に提供されたToxIDを介してハッカーに連絡する可能性があることが記載されています。ただし、感染したマシンがシャットダウンされると、WhisperGateはMBRレコードを上書きします。これは、オペレーティングシステムの適切なロードを可能にするハードドライブの一部です。

WhisperGateは、MBRを破棄することにより、システムをブリックします効果的に、攻撃者自身によってさえ、失敗する運命にあるデータを復元しようとします。影響を受けたファイルを以前の状態に戻すことができることを被害者に保証できない場合、サイバー犯罪者は報酬を受け取らないため、これはランサムウェア操作の目標に反します。安全に。ランサムウェアの部分が攻撃者の真の意図の隠蔽としてのみ使用されているという他の兆候があります。

WhisperGateのステージ2

攻撃の第2段階では、ファイルが破損した新しい専用のマルウェアが、侵害されたデバイスに展開されます。 'stage2.exe'という名前のファイルは、Discordチャネルからファイル破損をフェッチするダウンローダーとして機能します。ダウンロードリンクは、ダウンローダー自体にハードコードされています。ペイロードが実行されると、システム上の特定のディレクトリをスキャンして、180を超える異なる拡張子のリストに一致するファイルを探します。すべてのターゲットファイルの内容は、固定数の0xCCバイトで上書きされます。アクションに設定された合計ファイルサイズは1MBです。ファイルをスクランブリングした後、破損者はランダムな4バイトの拡張子を追加して元の名前を変更します。

想定される身代金メモのテキストは次のとおりです。

'ハードドライブが破損しています。
あなたがすべてのハードドライブを回復したい場合
あなたの組織の
あなたは私たちにビットコインウォレットを介して$ 10,000を支払う必要があります
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfvを介してメッセージを送信します
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
あなたの組織名で。
詳細な手順については、ご連絡いたします。 '