Se informa ampliamente que el incidente contiene tres componentes individuales implementados por el mismo adversario, incluido un gestor de arranque malicioso que corrompe los discos locales detectados, un descargador basado en Discord y un limpiador de archivos. La actividad ocurrió aproximadamente al mismo tiempo que se desfiguraron varios sitios web pertenecientes al gobierno ucraniano.
Este blog cubre el gestor de arranque malicioso con más detalle.
Detalles
El componente de instalación del gestor de arranque tiene un hash SHA256 de
a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
y contiene una marca de tiempo de compilación de 2022-01-10 10:37:18 UTC. Fue construido utilizando MinGW, similar al componente de limpieza de archivos. Este componente sobrescribe el registro de arranque maestro (MBR) de un host infectado con un cargador de arranque malicioso de 16 bits con un hash SHA256 de
44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8
que muestra una nota de rescate cuando el host arranca (Figura 1) y, al mismo tiempo, realiza operaciones destructivas en los discos duros del host infectado.
Figura 1. Nota de rescate falsa
La operación de limpieza destructiva tiene el siguiente pseudocódigo:
for i_disk between 0 and total_detected_disk_count do
for i_sector between 1 and total_disk_sector_count, i_sector += 199, do
overwrite disk i_disk at sector i_sector with hardcoded data
done
done
En compensaciones periódicas, el gestor de arranque sobrescribe sectores de todo el disco duro de un host infectado, con un mensaje similar a la nota de rescate, rellenado con bytes adicionales (Figura 2).
Figura 2. Volcado hexadecimal del patrón escrito en los discos de un host infectado
Los datos consisten en la cadena AAAAA, el índice de la unidad infectada, la nota de rescate y el valor mágico del pie de página del MBR 55 AA, seguido de dos bytes nulos.
El cargador de arranque accede al disco a través de la interrupción del BIOS 13hen el modo de direccionamiento de bloques lógicos (LBA) y sobrescribe cada sector 199 hasta que se alcanza el final del disco. Después de dañar un disco, el malware sobrescribe el siguiente en la lista de discos detectados.
Este proceso no es sofisticado pero recuerda a la implementación más evolucionada del MBR malicioso de NotPetya que se hizo pasar por la utilidad legítima chkdskde reparación de discos mientras en realidad corrompía el sistema de archivos del host infectado.
El instalador del cargador de arranque no inicia un reinicio del sistema infectado, como se ha observado en intrusiones pasadas como BadRabbit y NotPetya . La falta de reinicio forzado sugiere que el autor de la amenaza tomó otras medidas para iniciarlo (por ejemplo, a través de un implante diferente) o decidió dejar que los usuarios realizaran el reinicio ellos mismos. Un reinicio retrasado puede permitir que se ejecuten otros componentes de la intrusión de WhisperGate (por ejemplo, el limpiador de archivos).
Evaluación
El malware del cargador de arranque WhisperGate complementa su homólogo del limpiador de archivos. Ambos tienen como objetivo corromper irrevocablemente los datos de los hosts infectados e intentar hacerse pasar por operaciones de ransomware modernas y genuinas. Sin embargo, el cargador de arranque WhisperGate no tiene un mecanismo de descifrado o recuperación de datos, y tiene inconsistencias con el malware comúnmente implementado en las operaciones de ransomware.
El mensaje que se muestra sugiere que las víctimas pueden esperar la recuperación de sus datos, pero esto es técnicamente inalcanzable. Es muy probable que estas inconsistencias indiquen que la actividad de WhisperGate tiene como objetivo destruir los datos de los activos afectados. Esta evaluación se realiza con una confianza moderada a medida que continúa el análisis técnico de la actividad de WhisperGate .
La actividad recuerda al destructivo malware NotPetya de VOODOO BEAR, que incluía un componente que se hacía pasar por la utilidad legítima después de un reinicio y corrompía la tabla maestra de archivos (MFT) del host infectado, un componente crítico del sistema de archivos NTFS de Microsoft. Sin embargo, el cargador de arranque WhisperGate es menos sofisticado y actualmente no se pudo identificar ninguna superposición técnica con las operaciones de VOODOO BEAR.chkdsk
