s0689-whispergat - RunkIntel

# WhisperGaté > Tipo: **wiper** · S0689 · [MITRE ATT&CK](https://attack.mitre.org/software/S0689) ## Visão Geral [[whispergaté|WhisperGaté]] e um wiper de múltiplos estagios utilizado pelo [[g1003-ember-bear|Ember Bear]] (DEV-0586, atribuido ao Servico de Inteligência Militar russo - GRU Unidade 161) contra organizacoes governamentais, sem fins lucrativos e de tecnologia da informação na Ucrania a partir de 13 de janeiro de 2022 - semanas antes da invasao russa em grande escala de fevereiro de 2022. O malware e um exemplo paradigmatico de cyberarma destrutiva mascarada como ransomware: apresenta uma nota de "resgaté" exigindo US$ 10.000 em Bitcoin, mas nunca foi projetado para recuperar dados - a destruicao e o objetivo real. O WhisperGaté opera em tres estagios coordenados. O **Estagio 1** e um corruptor de MBR (Master Boot Record) que reescreve o setor de boot com uma nota de resgaté falsa, tornando o sistema incapaz de inicializar. O **Estagio 2** e um downloader .NET que usa o Discord CDN como infraestrutura de distribuição, buscando o payload do Estagio 3. O **Estagio 3** e o wiper principal que enumera extensoes de arquivos alvo (Office, imagens, código-fonte, bancos de dados) e sobrescreve o conteudo com 1 MB de bytes `0xCC` fixos, tornando a recuperacao impossível. O uso do Discord CDN como mecanismo de entrega foi inovador: aproveitou uma plataforma com dominio e certificado SSL legitimos, dificultando a detecção por proxies e firewalls. O [[whispergaté|WhisperGaté]] foi descoberto pela Microsoft MSTIC em 13 de janeiro de 2022 e foi o precursor da campanha mais ampla de wipers (incluindo [[s0697-hermeticwiper|HermeticWiper]], [[s0693-caddywiper|CaddyWiper]]) que acompanhou a invasao militar russa. **Plataformas:** Windows ## Como Funciona A arquitetura de tres estagios do WhisperGaté e deliberadamente modular para dificultar análise e atribuicao: **Estagio 1 - Corruptor de MBR:** - Executavel de 189 KB escrito em C - Sobrescreve os primeiros 512 bytes do disco (setor MBR) com a nota de resgaté - Executa `wevtutil cl` para limpar logs de eventos do Windows - Agenda reinicializacao via `shutdown.exe /r /f` para ativar o bloqueio de boot **Estagio 2 - Downloader .NET:** - Binario .NET de 133 KB ofuscado com ConfuserEx - Busca o Estagio 3 de um canal Discord (via URL hardcoded para attachment) - Usa InstallUtil.exe (T1218.004) como loader LOLBin para evasão - Descomprime payload com código customizado (nao usa APIs de descompressao padrao) **Estagio 3 - Wiper de Arquivos:** - Carregado via carregamento reflexivo de código (T1620) - Enumera drives e pastas, buscando 189 extensoes-alvo (.docx, .xlsx, .pdf, .py, .sql, .mdb, etc.) - Sobrescreve o conteudo de cada arquivo com 1 MB do byte `0xCC` - Renomeia arquivos com extensao de 4 bytes aleatorios para dificultar recuperacao parcial A separacao entre destruicao de MBR (Estagio 1) e wipe de arquivos (Estagio 3) maximiza o impacto: mesmo que o Estagio 3 sejá detectado e bloqueado, o sistema já nao pode mais inicializar após reinicializacao. ## Attack Flow ```mermaid graph TB A["Comprometimento Inicial Acesso previo ao ambiente alvo (mecanismo nao divulgado)"] --> B["Deploy Estagio 1 Corruptor MBR Nota de resgaté falsa"] B --> C["Limpeza de Logs wevtutil cl - remove rastros de eventos Windows"] C --> D["Reinicializacao Agendada Sistema nao inicializa mais MBR sobrescrito"] D --> E["Estagio 2 Download Payload via Discord CDN InstallUtil como loader LOLBin"] E --> F["Wipe de Arquivos 189 extensoes alvo Sobrescrita com 0xCC"] classDef init fill:#1a5276,color:#fff,stroke:#154360 classDef mbr fill:#c0392b,color:#fff,stroke:#922b21 classDef clean fill:#7f8c8d,color:#fff,stroke:#626567 classDef boot fill:#922b21,color:#fff,stroke:#6e2318 classDef down fill:#8e44ad,color:#fff,stroke:#6c3483 classDef wipe fill:#641e16,color:#fff,stroke:#4a1010 class A init class B mbr class C clean class D boot class E down class F wipe ``` **Nota:** Atribuido ao [[g1003-ember-bear|Ember Bear]] pela Microsoft MSTIC. Descoberto em 13/01/2022, semanas antes da invasao militar russa. ## Timeline ```mermaid timeline title WhisperGaté - Contexto da Campanha 2022 2022-01-13 : Microsoft MSTIC descobre WhisperGaté em organizacoes ucranianas 2022-01-14 : Defacement de 70 sites governamentais ucranianos 2022-01-15 : CISA e FBI publicam alerta conjunto sobre WhisperGaté 2022-02-23 : HermeticWiper detectado - horas antes da invasao 2022-02-24 : Invasao militar russa em grande escala da Ucrania 2022-03 : CaddyWiper implantado - continuacao da campanha destrutiva 2022-04 : Industroyer2 descoberto - ataque a rede eletrica ucraniana ``` ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1542-003-bootkit\|T1542.003]] | Bootkit - sobrescrita do MBR para bloquear inicializacao | | [[t1561-002-disk-structure-wipe\|T1561.002]] | Disk Structure Wipe - corrupcao irreversivel do MBR | | [[t1561-001-disk-content-wipe\|T1561.001]] | Disk Content Wipe - sobrescrita de 189 tipos de arquivos | | [[t1485-data-destruction\|T1485]] | Data Destruction - objetivo principal do malware | | [[t1218-004-installutil\|T1218.004]] | InstallUtil - LOLBin para carregamento do Estagio 3 | | [[t1620-reflective-code-loading\|T1620]] | Reflective Code Loading - payload Estagio 3 sem toque em disco | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols - Discord CDN como infraestrutura C2/entrega | | [[t1070-004-file-deletion\|T1070.004]] | File Deletion - remoção de logs e rastros | ## Grupos que Usam - [[g1003-ember-bear|Ember Bear]] (DEV-0586, UAC-0056 - atribuicao Microsoft MSTIC, Mandiant, CERT-UA) ## Malware Associado - [[s0697-hermeticwiper|HermeticWiper]] - wiper destrutivo subsequente (fev/2022, atribuido ao Sandworm) - [[s0693-caddywiper|CaddyWiper]] - wiper subsequente (mar/2022), sem sobreposicao de código com WhisperGaté - [[industroyer2|Industroyer2]] - cyberarma ICS da mesma campanha (abr/2022) - [[hermetic-wizard|HermeticWizard]] - worm de propagação complementar ao HermeticWiper ## Detecção A arquitetura de tres estagios do WhisperGaté cria múltiplas oportunidades de detecção antes da destruicao ser completada: **Estagio 1 (MBR):** - Monitorar escritas ao setor fisico do disco (`\\.\PhysicalDrive0`) por processos nao relacionados a ferramentas de boot/particionamento - Event ID 4688 (Process Creation): execução de `shutdown.exe /r /f` por processos incomuns **Estagio 2 (Download):** - Detectar uso de `InstallUtil.exe` para carregar assemblies .NET de diretorios temporarios - Alertar para downloads de `cdn.discordapp.com` em ambientes corporativos (incomum) - YARA rule para identificar o ofuscador ConfuserEx em binarios .NET **Estagio 3 (Wipe):** - EDR: alertar para acesso de escrita em massa a arquivos em múltiplos diretorios em curto intervalo (comportamento de wiper) - Detectar carregamento reflexivo de código (.NET assembly `Load()` de memória) - Sysmon Event ID 11 (FileCreaté) em volume anormal > [!danger] Wiper - Sem Recuperacao > A sobrescrita com `0xCC` e a corrupcao do MBR sao irreversiveis. Backups offline testados sao a única proteção efetiva. A nota de resgaté e falsa - nenhum pagamento recupera os dados. ## Relevância LATAM/Brasil O [[whispergaté|WhisperGaté]] e os wipers da campanha russo-ucraniana sao diretamente relevantes para o Brasil em tres dimensoes. Primeiro, as **técnicas de destruicao de dados** (MBR wipe, sobrescrita de arquivos por extensao) sao replicadas por grupos de ransomware que destroem dados após falha de negociacao - uma ameaça ativa no Brasil. Segundo, o uso do **Discord CDN como infraestrutura de entrega** foi amplamente adotado por grupos de malware que operam na LATAM - o Discord e uma plataforma popular no Brasil, tornando esse vetor especialmente eficaz. Terceiro, o modelo de **wiper disfarçado de ransomware** foi replicado por grupos como [[alphv-blackcat|ALPHV/BlackCat]] em algumas variantes observadas no Brasil. O [[cert-br|CERT.br]] e o CTIR Gov monitoram ativamente TTPs de grupos estado-nacao que possam ser adaptados para uso em contexto brasileiro. ## Referências - [MITRE ATT&CK - S0689](https://attack.mitre.org/software/S0689) - [Microsoft MSTIC - Destructive Malware Targeting Ukrainian Organizations](https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) - [CISA - Destructive Malware Targeting Organizations in Ukraine](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a) - [Mandiant - Suspected Russian Activity Targeting Government and Business Entities Around the Globe](https://www.mandiant.com/resources/blog/suspected-russian-activity-targeting-government-and-business) - [Unit 42 - WhisperGaté: Analysis of a Destructive Malware](https://unit42.paloaltonetworks.com/whispergaté/)