WhisperGate Malware går efter Ukraines mål

WhisperGate er et nyt stykke malware, som i øjeblikket er kategoriseret som en diskvisker, som også kan ødelægge Master Boot Record (MBR) af inficerede enheder. Disse angreb er utroligt ødelæggende, da de opnår to ting. For det første gør de ofrets filer utilgængelige. Og for det andet sikrer de også, at brugeren muligvis ikke er i stand til at starte deres system, fordi Master Boot Record er blevet overskrevet fuldstændigt. I de seneste år er mange store organisationer og institutioner blevet ofre for sådanne angreb.

WhisperGates Ransomware-forklædning

En af de ejendommelige ting ved denne ransomware er, at den bruger en brugerdefineret besked til at overskrive Master Boot Record. Det betyder, at når systemet starter op igen, vil det vise de kriminelles budskab. Overraskende nok opfordrer det ofre til at betale et løsesum på $10.000 via Bitcoin - for at forsikre dem om, at deres filer vil blive gendannet, efter at de har betalt. Analyser viser dog, at WhisperGate ikke rigtig krypterer filer - den overskriver og korrumperer simpelthen deres indhold. Dette betyder, at skaberne af ransomware ikke er i stand til at fortryde den skade, deres malware gør.

Angrebet udføres normalt i to faser. Først krypteres MBR, og derefter er filerne også beskadiget. WhisperGate-malwaren er rettet mod populære filformater for at maksimere skaden - en almindelig fremgangsmåde for ransomware og wipers. En anden interessant ting ved WhisperGate Malware er, at den først starter sit angreb, når enheden slukker - dette betyder, at lancering af malwaren ikke vil forårsage nogen ændringer, før enheden lukker ned.

Hidtil er WhisperGate udelukkende blevet brugt i angreb mod Ukraine-baserede enheder og organisationer - såsom store navne i energisektoren. Dette vil sandsynligvis betyde, at angriberen er en statssponsoreret trusselsaktør, hvis ultimative mål er at nedbryde kritisk infrastruktur i Ukraine.

January 19, 2022