El malware WhisperGate utilizado en múltiples ataques cibernéticos contra objetivos del gobierno ucraniano, supuestamente por actores maliciosos vinculados o respaldados por el gobierno ruso, sigue siendo objeto de análisis continuo por parte de investigadores de seguridad a medida que se acumula la crisis internacional sobre Ucrania.
WhisperGate es un gusano parecido a un limpiaparabrisas con algunas similitudes con NotPetya; como se informó anteriormente, se “disfraza” como un ransomware, pero en lugar de cifrar datos, apunta a un registro de arranque maestro del sistema para su destrucción.
Calvin Gan, gerente sénior de defensa táctica de F-Secure, dijo que la táctica de disfrazar el malware de limpiaparabrisas como ransomware no era nueva y era muy favorecida por actores vinculados a los gobiernos nacionales.
“WhisperGate o DEV-0586 como lo llama Microsoft, tiene un parecido similar a NotPetya descubierto en 2017, que también es un malware de limpieza disfrazado de ransomware”, dijo Gan.
“NotPetya en ese momento ha paralizado a muchas empresas en Ucrania, Francia, Rusia, España y Estados Unidos. Luego también está el grupo Agrius rastreado por investigadores de SentinelOne que recientemente también ha estado utilizando malware de borrado en sus organizaciones objetivo en el Medio Oriente.
“Con el uso de malware de limpieza, está claro que los atacantes no buscan ganancias financieras, sino que están más motivados para paralizar las operaciones de destino. Sobrescritura del registro de arranque maestro [MBR] haría que la máquina no pudiera arrancar, lo que imposibilitaría la recuperación, especialmente cuando el malware también sobrescribe el contenido del archivo antes de sobrescribir el MBR”, dijo.
Mientras tanto, los investigadores de Cisco Talos compartieron detalles de la cadena de ataque de WhisperGate. Ha evaluado desde hace unos días (con un grado de confianza medio) que los atacantes detrás de él estaban en posesión de credenciales robadas y habían tenido acceso a sus objetivos durante algún tiempo. Como señaló el equipo de Talos, esta es una táctica común de los grupos de amenazas persistentes avanzadas (APT), lo que da crédito a la especulación de que los ataques fueron respaldados por Moscú.
En una infección de WhisperGate, la víctima primero recibe una carga útil que intenta borrar el MBR y reemplazarlo con la “nota de rescate”, mientras que al mismo tiempo intenta destruir la partición C: sobrescribiéndola con datos fijos. algo que lo diferencia de NotPetya.
La segunda etapa, dijo Talos, es un descargador que obtiene la tercera etapa, un archivo de biblioteca de enlaces dinámicos (DLL), desde una URL del servidor Discord codificada en el descargador. Esta DLL, codificada en C#, descarga una carga útil de limpieza de cuarta etapa que elimina todos los datos en el punto final. Los investigadores de Talos dijeron que esto era “probablemente un plan de contingencia” si la primera etapa no funcionaba correctamente.
Rafe Pilling, investigador sénior de seguridad en la Unidad de Contraamenazas de Secureworks, dijo: “Para ser claros, WhisperGate es un malware destructivo, no un ransomware. Nadie recuperará sus datos. Si bien es poco probable que se apunte directamente a organizaciones fuera de Ucrania, los clientes deben considerar su exposición a daños colaterales a través de proveedores de servicios o socios comerciales en Ucrania.
“Las organizaciones deben estar más atentas y mantener copias de seguridad actuales de los sistemas y datos críticos para el negocio, ejercitar los procesos de restauración antes de que sean necesarios y asegurarse de que las copias de seguridad no se vean afectadas por ataques de ransomware o malware de limpieza”.
Las mejores prácticas para protegerse contra un ataque al estilo WhisperGate reflejan las mejores prácticas para defenderse de las pandillas tradicionales de ransomware: mantener copias de seguridad completas, actualizadas y probadas regularmente y protegidas; desarrollar planes de continuidad del negocio; para segmentar redes y limitar el acceso a activos de alto riesgo; para mantener todos los sistemas y software parcheados y actualizados; y para implementar la detección y respuesta de punto final (EDR) e investigar todas y cada una de las alertas.