WhisperGate

WhisperGate est un essuie-glace MBR (Master Boot Record) menaçant se faisant passer pour un rançongiciel. Le malware est capable de dévaster les machines infectéescomplètement, les laissant même incapables de démarrer. La menace a été découverte le 13 janvier 2022 par les chercheurs du Threat Intelligence Center de Microsoft, qui ont remarqué l'activité inhabituelle sur plusieurs systèmes en Ukraine. Un expert local en cybersécurité a partagé avec l'Associated Press que les attaquants ont très probablement réussi à infecter le réseau gouvernemental via une attaque de la chaîne d'approvisionnement.

Jusqu'à présent, l'attaque ne peut être attribuée à aucun des groupes APT (Advanced Persistent Threat) connus.avec confiance, les chercheurs pensent donc qu'elle a été menée par un nouvel acteur sur la scène de la cybercriminalité. Les attaquants ont réussi à compromettre de nombreux ordinateurs appartenant à plusieurs organisations gouvernementales, à but non lucratif et de technologie de l'information. Les représentants ukrainiens ont déclaré qu'ils pensaient que la Russie était derrière l'attaque. Cela peut apparaître comme une conclusion probable compte tenu de la situation géopolitique de la région.

Étape 1 de l'opération WhisperGate

Le logiciel malveillant WhisperGate est déposé sur les systèmes compromis dans l'un des répertoires C:\PerfLogs, C:\ProgramData, C:\ et C:\temp sous la forme d'un fichier nommé "stage1.exe". Pour détourner l'attention de son véritable objectif, WhisperGate adopte plusieurs caractéristiques généralement observées dans les menaces de ransomware. Il délivre une note de rançon affirmant que les attaquants veulent être payés 10 000 $ en Bitcoin. L'argent est censé être transféré à l'adresse de portefeuille cryptée fournie. La note mentionne que les victimes peuvent contacter les pirates via le Tox ID fourni pour Tox, un protocole de messagerie crypté. Cependant, lorsque la machine infectée est arrêtée, WhisperGate écrase son enregistrement MBR, qui est la partie du disque dur qui permet le chargement correct du système d'exploitation.

En détruisant le MBR, WhisperGate brique le systèmeefficacement et rend toute tentative de restauration des données vouée à l'échec, même par les attaquants eux-mêmes. Cela va à l'encontre de l'objectif de toute opération de ransomware, car les cybercriminels ne seront pas payés s'ils ne peuvent pas garantir aux victimes que les fichiers concernés peuvent être renvoyés à leur état antérieur.sans encombre. Il existe d'autres signes que la partie ransomware n'est utilisée que pour dissimuler les véritables intentions des attaquants.

Étape 2 de WhisperGate

Dans la deuxième étape de l'attaque, un nouveau logiciel malveillant corrompu de fichier dédié est déployé sur l'appareil piraté. Un fichier nommé 'stage2.exe' agit comme un téléchargeur qui récupère le fichier corrupteur à partir d'un canal Discord. Le lien de téléchargement est codé en dur dans le téléchargeur lui-même. Une fois la charge utile exécutée, elle analyse des répertoires spécifiques sur le système à la recherche de fichiers correspondant à une liste de plus de 180 extensions différentes. Le contenu de tous les fichiers ciblés sera écrasé par un nombre fixe d'octets 0xCC. La taille totale des fichiers définie pour l'action est de 1 Mo. Après avoir brouillé les fichiers, le corrupteur modifiera leurs noms d'origine en ajoutant une extension aléatoire de quatre octets.

Le texte de la prétendue note de rançon est :

' Votre disque dur a été corrompu.
Si vous souhaitez récupérer tous les disques durs
de votre organisation,
Vous devriez nous payer 10 000 $ via un portefeuille bitcoin
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv et envoyer un message via
ID toxique 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
avec le nom de votre organisation.
Nous vous contacterons pour vous donner de plus amples instructions. '