En las últimas semanas se ha observado un nuevo malware de limpieza de datos que afecta a las máquinas ucranianas a gran escala.

En las últimas semanas se ha registrado un gran volumen de ciberataques contra el ciberespacio ucraniano, junto con la escalada de tensión militar ruso-ucraniana. Además de los ataques a sitios web gubernamentales, desfiguraciones, etc., los delincuentes han difundido malware totalmente destructivo (limpieza de datos). El malware denominado WhisperGate es una clara señal de que los delincuentes no obtienen ningún beneficio económico una vez que el hilo se ejecuta en el objetivo. A primera vista, el grupo está motivado únicamente para interrumpir las operaciones ucranianas, causando el mayor daño posible al objetivo.

En resumen, el malware de limpieza de datos se basa en cuatro fases principales , a saber:

  1. Sobrescribe el Master Boot Record (MBR) y muestra una nota de rescate falsa después de reiniciar el sistema.
  2. Descarga la etapa 3 desde un servidor de Discord
  3. Detener y desactivar Windows Defender
  4. Cifrar/dañar archivos, hacer ping a una dirección y eliminar el malware de la máquina

Cómo funciona WhisperGate

La primera etapa del malware es responsable de sobrescribir el MBR de la máquina. Con este enfoque, la máquina no se puede arrancar, lo que imposibilita el proceso de recuperación. Después de dañar el MBR, la PC se reinicia y se ejecuta el código sobrescrito.

El código de destino atraviesa todas las unidades del disco y lo sobrescribe con datos específicos en intervalos de 199 LBA. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: sobrescritura de MBR ( fuente ).

El malware coloca la nota de rescate en el MBR mediante la API de Windows WriteFile(). Como se observa a continuación, durante este proceso sólo se sobrescriben 512 bytes de MBR.

2: Nota de rescate falsa colocada en el MBR.

Después de eso, la cadena de la nota de rescate se obtiene del MBR y se muestra en la pantalla. Otras unidades se atraviesan y destruyen antes de ejecutar la segunda etapa.

El archivo de la segunda etapa tiene contenido en ruso y pretende ser un archivo de Microsoft. Esta etapa solo se usa para descargar la tercera etapa de malware (archivo de imagen) desde un servidor de Discord para evitar AV. El binario utiliza una llamada de suspensión con 10 segundos como parámetro (ver imagen a continuación) como una forma adicional de eludir las protecciones de ciberseguridad.

3: Técnica Anti AV (sueño) como forma de evitar su detección.

Después de la llamada de suspensión, la tercera etapa se descarga en la máquina de destino. Se invoca el método “Ylfwdwgmpilzyaph” y el malware se ejecuta en la memoria.

4: Malware WhisperGate: descarga de tercera etapa desde un servidor de Discord.

La tercera etapa de WhisperGate es un archivo escrito en C# y ofuscado mediante el empaquetador Eazfuscator como se observa a continuación.

5: Malware WhisperGate ofuscado con el empaquetador Eazfuscator.

Después de ejecutarse, intenta detener y desactivar Windows Defender en la máquina de destino para convertirlo en una pieza más destructiva. En detalle, el malware también elimina la carpeta “C:ProgramDataMicrosoftWindows Defender” para garantizar que el antivirus ya no funcione. Los siguientes comandos se ejecutan durante la ejecución del malware:

6: Se elimina la carpeta de Windows Defender y el antivirus se detiene y desactiva en la máquina de destino.

A continuación, todo el sistema de archivos queda dañado, lo que hace imposible su recuperación. El malware ha codificado alrededor de 1xtensiones de archivos que coincidirán y cifrarán durante su ejecución. Agrega cuatro bytes al nombre del archivo y cifra cada archivo usando este enfoque, cambiando el nombre de los archivos después de finalizar el proceso.

7: Proceso de cifrado de datos y extensiones de archivos de destino.

Whispergate utiliza el comando ping para eliminarse del disco cuando finaliza el proceso de cifrado de archivos.

8: Comando ping utilizado por WhisperGate para eliminarse del disco.

WhisperGate y Ucrania

El malware de borrado de datos aumentará en. WhisperGate aprovecha específicamente varias etapas, incluida la corrupción del MBR, que hace imposible el proceso de recuperación de archivos. Debido a la forma en que está cifrado el sistema de archivos, la motivación de los ciberdelincuentes probablemente sea dañar completamente los equipos de las víctimas en lugar de exigir un rescate.

En este sentido, las notas de rescate pueden considerarse un mensaje falso, sólo para atraer al analista durante el proceso de ingeniería inversa y también una forma de enmascarar sus intenciones.

Así, conseguir protección frente a amenazas de esta naturaleza no está totalmente garantizado, pero se pueden tener en cuenta una serie de medidas para dificultar el proceso, a saber:

Y por último, pero no menos importante, no se comparte ningún software o archivo abierto que no sea de confianza a través de correos electrónicos sin garantizar su autenticidad.

Fuentes: