WhisperKill vs WhiteBlackCrypt: un petit soucis de fichiers…

Fin de semaine dernière, le CERT UA publie un article détaillant que WhisperKill utilisé pour détruire les disques lors de l’attaque du #WhisperGate de ses victimes serait un copy cat de WhiteBlackCrypt.

CERT-UA

avec une similarité des fonctions de 91 %

Le soucis est quand on reprends les mêmes hashes que l’études et qu’on refait l’expérience, nous tombons à 28 %

la similarité sur la fonction isDirectory est forcée, car si l’on fait une recherche sur le masque utilisé:

(local_2a & 0xf000) == 0x4000;

Il y a beaucoup de code source qui l’utilise. Donc en terme de discriminant, ce n’est pas suffisant.

Il n’y a vraiment qu’une similarité intéressante, c’est la fonction de destruction/chiffrement mais idem, les mécanismes restent proche d’un ransomware a un autre

Après avoir contacté le CERT UA, les hashes qui ont été publiés ne sont pas les bons. https://twitter.com/_CERT_UA/status/1488138913818554372?s=20&t=wl6hKRIEhc-zgVd50q6bxw

Lorsque l’on refait les expériences du papier avec ceux cités ci-dessus, nous nous retrouvons bien avec les bonnes valeurs et les bonnes fonctions

Encrypt3D_DestroyRecursiveWhisperKill_DestroyRecursive

Il y a donc une vrai tentative de copycat pour ce virus dont le but est de reprendre la structure et les fonctionnalités.

Par ailleurs, beaucoup d’articles ont été publiés avec la première version de hashes sans vérification. Ce qui est dommageable quand cela vient d’équipe de Threat Intelligence ou d’analyse de malware.

Article Link: WhisperKill vs WhiteBlackCrypt: un petit soucis de fichiers… | by Sebdraven | Jan, 2022 | Medium