В ході операції #BleedingBear, що включає низку кібератак на державні інформаційні ресурси 13-14 січня, використовується шкідливе програмне забезпечення, призначене для знищення інформації на комп'ютерах і серверах. Шкідливий код з схожими функціями використовувався й під час атаки NotPetya у 2017 році.
Виявлене деструктивне програмне забезпечення здійснює перезапис (знищення без можливості відновлення) завантажувального сектору MBR для відображення фейкового повідомлення про викуп у сумі 10 тисяч доларів на біткойн гаманець. Зазвичай файл має назву stage1.exe та розміщується за шляхами C:\PerfLogs, C:\ProgramData, C:\, C:\temp та у інших службових каталогах.
=========Фейкове повідомлення з вимогою викупу=========
Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.
=========
Для знищення файлів використовується інше шкідливе ПЗ, яке виконується у пам'яті комп'ютера та здійснює перезапис (знищення) файлів користувача з визначеними розширеннями: [.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP]
Для неможливості відновлення інформації в файлах користувача здійснюється стирання перших 1 мегабайтів кодом (0xCC). Запуск процедури знищення файлів ініціюється шкідливим файлом Stage2.exe, який завантажує знищувач з каналу Discord.
Наразі шкідливе ПЗ вже визначається антивірусними продуктами Microsoft та ESET як DoS:Win32/WhisperGate.A!dha та MSIL/TrojanDownloader.Agent_Agen.FP.
У разі виявлення спрацювань антивірусних продуктів за цими назвами або інших індикаторів компрометації, для скоординованого реагування негайно повідомте про інцидент НКЦК на пошту
Індикатори компрометації
Хеш SHA-256
stage1.exe a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
stage2.exe dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
Командний рядок для запуску шкідливого ПЗ
cmd.exe /Q /c start c:\stage1.exe 1> \\127.0.0.1\ADMIN$\__[TIMESTAMP] 2>&1
За інформацією НКЦК