WhisperGate

WhisperGate ist ein bedrohlicher MBR (Master Boot Record)-Wischer, der sich als Ransomware ausgibt. Die Malware ist in der Lage, die infizierten Computer vollständig zu verwüsten, so dass sie nicht einmal booten können. Die Bedrohung wurde am 13. Januar 2022 von den Forschern des Threat Intelligence Center von Microsoft entdeckt, die die ungewöhnliche Aktivität auf mehreren Systemen in der Ukraine bemerkten. Ein lokaler Cybersicherheitsexperte teilte Associated Press mit, dass es den Angreifern höchstwahrscheinlich gelungen sei, das Regierungsnetzwerk durch einen Angriff auf die Lieferkette zu infizieren.

Bisher lässt sich der Angriff keiner der bekannten APT-Gruppen (Advanced Persistent Threat) zuversichtlich zuordnen, so dass die Forscher glauben, dass es von einem neuen Akteur in der Szene der Cyberkriminalität durchgeführt wurde. Den Angreifern gelang es, zahlreiche Computer zu kompromittieren, die mehreren staatlichen, gemeinnützigen und IT-Organisationen gehörten. Ukrainische Vertreter haben erklärt, dass sie glauben, dass Russland hinter dem Angriff steckt. Angesichts der geopolitischen Lage in der Region mag dies als wahrscheinliche Schlussfolgerung erscheinen.

Phase 1 der WhisperGate-Operation

Die WhisperGate-Malware wird auf den kompromittierten Systemen in einem der Verzeichnisse C:\PerfLogs, C:\ProgramData, C:\ und C:\temp als Datei namens „stage1.exe“ abgelegt. Um die Aufmerksamkeit von seinem eigentlichen Zweck abzulenken, übernimmt WhisperGate mehrere Merkmale, die typischerweise bei Ransomware-Bedrohungen beobachtet werden. Es liefert eine Lösegeldforderung, in der behauptet wird, dass die Angreifer 10.000 Dollar in Bitcoin bezahlt bekommen wollen. Das Geld soll an die angegebene Krypto-Wallet-Adresse überwiesen werden. In der Notiz wird erwähnt, dass Opfer die Hacker über die bereitgestellte Tox-ID für Tox, ein verschlüsseltes Nachrichtenprotokoll, kontaktieren können. Wenn der infizierte Computer jedoch heruntergefahren wird, überschreibt WhisperGate seinen MBR-Eintrag, der der Teil der Festplatte ist, der das ordnungsgemäße Laden des Betriebssystems ermöglicht.

Durch die Zerstörung des MBR blockiert WhisperGate das Systemeffektiv und lässt jeden Versuch, die darauf befindlichen Daten wiederherzustellen, zum Scheitern verurteilt sein, selbst durch die Angreifer selbst. Dies widerspricht dem Ziel jeder Ransomware-Operation, da die Cyberkriminellen nicht bezahlt werden, wenn sie den Opfern nicht versichern können, dass die betroffenen Dateien in ihren vorherigen Zustand sicher zurückversetzt werden können. Es gibt auch andere Anzeichen dafür, dass der Ransomware-Teil nur dazu dient, die wahren Absichten der Angreifer zu verschleiern.

Phase 2 von WhisperGate

In der zweiten Phase des Angriffs wird eine neue dedizierte Malware mit beschädigten Dateien auf dem angegriffenen Gerät bereitgestellt. Eine Datei namens „stage2.exe“ fungiert als Downloader, der den Dateikorrumpierer von einem Discord-Kanal abruft. Der Download-Link ist im Downloader selbst fest codiert. Sobald die Payload ausgeführt wird, durchsucht sie bestimmte Verzeichnisse auf dem System nach Dateien, die mit einer Liste von über 180 verschiedenen Erweiterungen übereinstimmen. Der Inhalt aller Zieldateien wird mit einer festen Anzahl von 0xCC-Bytes überschrieben. Die für die Aktion eingestellte Gesamtdateigröße beträgt 1 MB. Nach dem Verschlüsseln der Dateien ändert der Verderber ihre ursprünglichen Namen, indem er eine zufällige Vier-Byte-Erweiterung hinzufügt.

Der Text der angeblichen Lösegeldforderung lautet:

„ Ihre Festplatte wurde beschädigt.
Falls Sie alle Festplatten wiederherstellen möchten
Ihrer Organisation,
Sie sollten uns 10.000 $ über Bitcoin Wallet zahlen
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv und Nachricht senden per
Tox-ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
mit Ihrem Organisationsnamen.
Wir werden Sie kontaktieren, um weitere Anweisungen zu geben. '