WhisperGate is een destructieve file-wiper-malware die wordt gebruikt in een campagne gericht op Oekraïense organisaties. De malware richt zich op Windows-apparaten, corrumpeert het Master Boot Record (MBR) en de harde schijf van het eindpunt van het slachtoffer. Het is ontworpen om eruit te zien als ransomware, maar biedt geen herstelmechanisme voor losgeld, waardoor het apparaat onbruikbaar wordt.
In deze blogpost onderzoeken we de detectie en verwijdering van WhisperGate met behulp van verschillende KMO CDC functies.
WhisperGate malware Gedag:
Fase 1: Master Boot Record (MBR) overschrijven
Fase 2: Download een bestandscorrupter-malware
Fase 3: Bestandscorrupter uitvoeren
Onze detectie Regels:
<group name="syscheck,malware,">
<rule id="110001" level="10">
<if_group>syscheck</if_group>
<field name="sha256">a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92</field>
<description>Malware Hash Match: WhisperGate Stage 1 IOC Detected</description>
<mitre>
<id>T1204.002</id>
</mitre>
</rule>
<rule id="110002" level="10">
<if_group>syscheck</if_group>
<field name="sha256">dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78</field>
<description>Malware Hash Match: WhisperGate Stage 2 IOC Detected</description>
<mitre>
<id>T1204.002</id>
</mitre>
</rule>
<rule id="110003" level="10">
<if_group>syscheck</if_group>
<field name="sha256" type="pcre2">9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d|923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6</field>
<description>Malware Hash Match: WhisperGate Stage 3 IOC Detected</description>
<mitre>
<id>T1204.002</id>
</mitre>
</rule>
</group>
Dutch