Η Microsoft προειδοποιεί για ένα data-wiping malware που εμφανίζεται σαν ransomware και χρησιμοποιείται σε επιθέσεις εναντίον πολλών οργανισμών στην Ουκρανία. Από τις 13 Ιανουαρίου, η Microsoft εντόπισε επιθέσεις που συνδύαζαν ένα καταστροφικό MBRLocker με ένα data-corrupting malware που καταστρέφει τα δεδομένα του θύματος.
Επίθεση δύο σταδίων
Η Microsoft αποκαλεί αυτή τη νέα οικογένεια malware, “WhisperGate“, και εξηγεί ότι η επίθεση διεξάγεται μέσω δύο διαφορετικών καταστροφικών στοιχείων κακόβουλου λογισμικού.
Το πρώτο component, που ονομάζεται stage1.exe, ξεκινά από τα C:\PerfLogs, C:\ProgramData, C:\, ή C:\temp folders, που αντικαθιστούν το Master Boot Record για να εμφανιστεί ένα σημείωμα λύτρων (γι’ αυτό φαίνεται σαν ransomware).
Δείτε επίσης: Dark web: Η πλατφόρμα carding UniCC κλείνει το κατάστημα της
Το MBR locker είναι ένα πρόγραμμα που αντικαθιστά το “master boot record”, μια τοποθεσία στον σκληρό δίσκο ενός υπολογιστή που περιέχει πληροφορίες για τα disk partitions και ένα μικρό εκτελέσιμο αρχείο που χρησιμοποιείται για τη φόρτωση του λειτουργικού συστήματος.
Τα MBR lockers αντικαθιστούν το πρόγραμμα φόρτωσης στο master boot record με ένα πρόγραμμα που συνήθως κρυπτογραφεί το partition table και εμφανίζει ένα σημείωμα λύτρων. Αυτό εμποδίζει τη φόρτωση του λειτουργικού συστήματος και την πρόσβαση στα δεδομένα έως ότου πληρωθούν τα λύτρα.
Το σημείωμα λύτρων WhisperGate, σε μια από τις επιθέσεις που εντόπισε η Microsoft, λέει στο θύμα να στείλει 10.000 $ σε bitcoin, στη διεύθυνση 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv και να επικοινωνήσει με τους φορείς της επίθεσης μέσω ενός Tox chat ID.
Η Microsoft αναφέρει ότι η χρήση του Tox δείχνει ότι δεν πρόκειται για κανονικό ransomware. Ωστόσο, το BleepingComputer λέει ότι υπάρχουν ransomware ομάδες που χρησιμοποιούν το Tox ως μέθοδο επικοινωνίας.
Ωστόσο, το σημείωμα λύτρων του MBRLocker χρησιμοποιεί την ίδια διεύθυνση bitcoin για όλα τα θύματα και δεν παρέχει μέθοδο εισαγωγής κλειδιού αποκρυπτογράφησης. Αυτό συνήθως δείχνει ότι δεν πρόκειται για πραγματικό ransomware, αλλά για ένα data-wiping malware σχεδιασμένο για καταστροφικούς σκοπούς.
Το δεύτερο component, που ονομάζεται stage2.exe, εκτελείται ταυτόχρονα με το πρώτο για τη λήψη ενός κακόβουλου λογισμικού που καταστρέφει δεδομένα και ονομάζεται Tbopbh.jpg. Φιλοξενείται στο Discord και αντικαθιστά στοχευμένα αρχεία με static data.
Δείτε επίσης: Αδυναμία του Microsoft Defender εμποδίζει τον εντοπισμό malware
“Εάν ένα αρχείο φέρει μία από τις παρακάτω επεκτάσεις, το malware αντικαθιστά τα περιεχόμενα του αρχείου με έναν σταθερό αριθμό 0xCC byte (συνολικό μέγεθος αρχείου 1MB)“, εξηγεί η αναφορά της Microsoft.
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP“Μετά την αντικατάσταση των περιεχομένων, το malware μετονομάζει κάθε αρχείο με μια φαινομενικά τυχαία four-byte επέκταση“.
Καθώς κανένα από τα δύο malware components δεν προσφέρει μέσα για την εισαγωγή κλειδιών αποκρυπτογράφησης, για την επαναφορά του αρχικού Master Boot Record, και καθώς τα αρχεία αντικαθίστανται με static undecryptable data, η Microsoft θεωρεί ότι πρόκειται για επιθέσεις που χρησιμοποιούν αυτό το malware για να καταστρέψουν αρχεία και όχι για να λάβουν οι hackers χρήματα.
Η Microsoft δεν έχει κατορθώσει να συνδέσει τις επιθέσεις με κάποια συγκεκριμένη ομάδα.
Με τις γεωπολιτικές εντάσεις να κλιμακώνονται μεταξύ Ρωσίας και Ουκρανίας, πιστεύεται ότι αυτές οι υποτιθέμενες ransomware επιθέσεις έχουν σχεδιαστεί για να δημιουργήσουν χάος στην Ουκρανία.
Δείτε επίσης: Συνελήφθη συμμορία ransomware που έπληξε πάνω από 50 εταιρείες
Μια παρόμοια επίθεση διεξήχθη το 2017, όταν χιλιάδες επιχειρήσεις στην Ουκρανία έγιναν στόχος του ransomware NotPetya. Το NotPetya βασιζόταν σε πραγματικό ransomware, το οποίο είναι γνωστό ως Petya. Ωστόσο, και εκείνες οι επιθέσεις κατά της Ουκρανίας δεν είχαν στόχο τα λύτρα.
Ουκρανία: Στόχος κυβερνοεπιθέσεων τις τελευταίες ημέρες
Την προηγούμενη εβδομάδα, αρκετά sites δημόσιων ιδρυμάτων και κυβερνητικών υπηρεσιών της Ουκρανίας παραβιάστηκαν και τέθηκαν εκτός σύνδεσης.
Οι defacement επιθέσεις οδήγησαν στην προβολή ενός μηνύματος που προειδοποιούσε τους επισκέπτες των sites ότι τα δεδομένα τους κλάπηκαν και κοινοποιήθηκαν δημόσια στο διαδίκτυο.
Ωστόσο, παράγοντες απειλών που έχουν εξετάσει τα δημοσιευμένα δεδομένα λένε ότι δεν σχετίζονται με κυβερνητικές υπηρεσίες της Ουκρανίας αλλά με δεδομένα από μια παλιά διαρροή.
Η Ουκρανία κατηγορεί τη Ρωσία για τις επιθέσεις.
Πηγή: Bleeping Computer
