WhisperGate
WhisperGate es un limpiador MBR (Master Boot Record) amenazante que se hace pasar por ransomware. El malware es capaz de arrasar las máquinas infectadascompletamente, dejándolos incapaces incluso de arrancar. La amenaza fue descubierta el 13 de enero de 2022 por los investigadores del Threat Intelligence Center de Microsoft, quienes notaron la actividad inusual en múltiples sistemas en Ucrania. Un experto local en ciberseguridad compartió con Associated Press que lo más probable es que los atacantes lograran infectar la red del gobierno a través de un ataque a la cadena de suministro.
Hasta el momento, el ataque no se puede atribuir a ninguno de los grupos APT (Advanced Persistent Threat) conocidos.con confianza, por lo que los investigadores creen que fue llevado a cabo por un nuevo actor en la escena del cibercrimen. Los atacantes lograron comprometer numerosas computadoras pertenecientes a múltiples organizaciones gubernamentales, sin fines de lucro y de tecnología de la información. Los representantes ucranianos han declarado que creen que Rusia está detrás del ataque. Esto puede parecer una conclusión probable teniendo en cuenta la situación geopolítica de la región.
Etapa 1 de la Operación WhisperGate
El malware WhisperGate se coloca en los sistemas comprometidos en uno de los directorios C:\PerfLogs, C:\ProgramData, C:\ y C:\temp como un archivo llamado 'stage1.exe'. Para desviar la atención de su verdadero propósito, WhisperGate adopta varias características que normalmente se observan en las amenazas de ransomware. Entrega una nota de rescate que afirma que los atacantes quieren que se les pague $ 10,000 en Bitcoin. Se supone que el dinero debe transferirse a la dirección de la billetera criptográfica proporcionada. La nota menciona que las víctimas pueden comunicarse con los piratas informáticos a través de la identificación Tox proporcionada para Tox, un protocolo de mensajería cifrada. Sin embargo, cuando la máquina infectada se apaga, WhisperGate sobrescribe su registro MBR, que es la parte del disco duro que permite la carga adecuada del sistema operativo.
Al destruir el MBR, WhisperGate bloquea el sistemaefectivamente y hace que cualquier intento de restaurar los datos esté condenado al fracaso, incluso por parte de los propios atacantes. Esto va en contra del objetivo de cualquier operación de ransomware, ya que a los ciberdelincuentes no se les pagará si no pueden asegurar a las víctimas que los archivos afectados pueden volver a su estado anterior.sin peligro. Hay otras señales de que la parte del ransomware solo se usa para encubrir las verdaderas intenciones de los atacantes.
Etapa 2 de WhisperGate
En la segunda etapa del ataque, se implementa un nuevo malware corrupto de archivo dedicado en el dispositivo violado. Un archivo llamado 'stage2.exe' actúa como un descargador que obtiene el corruptor de archivos de un canal de Discord. El enlace de descarga está codificado en el propio programa de descarga. Una vez que se ejecuta la carga útil, escanea directorios específicos en el sistema en busca de archivos que coincidan con una lista de más de 180 extensiones diferentes. El contenido de todos los archivos de destino se sobrescribirá con un número fijo de bytes 0xCC. El tamaño total de archivos establecido para la acción es de 1 MB. Después de codificar los archivos, el corruptor cambiará sus nombres originales agregando una extensión aleatoria de cuatro bytes.
El texto de la supuesta nota de rescate es:
' Su disco duro ha sido dañado.
En caso de que quieras recuperar todos los discos duros
de su organización,
Debería pagarnos $ 10k a través de la billetera bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv y enviar mensaje a través de
identificación toxicológica 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
con el nombre de su organización.
Nos pondremos en contacto contigo para darte más instrucciones. '
