Το κακόβουλο λογισμικό WhisperGate κυνηγά τους στόχους της Ουκρανίας

Το WhisperGate είναι ένα νέο κομμάτι κακόβουλου λογισμικού, το οποίο επί του παρόντος κατηγοριοποιείται ως υαλοκαθαριστήρας δίσκου, το οποίο μπορεί επίσης να καταστρέψει το Master Boot Record (MBR) των μολυσμένων συσκευών. Αυτές οι επιθέσεις είναι απίστευτα καταστροφικές αφού επιτυγχάνουν δύο πράγματα. Πρώτον, καθιστούν τα αρχεία του θύματος απρόσιτα. Και, δεύτερον, διασφαλίζουν επίσης ότι ο χρήστης ενδέχεται να μην είναι σε θέση να εκκινήσει το σύστημά του επειδή το Master Boot Record έχει αντικατασταθεί πλήρως. Τα τελευταία χρόνια, πολλοί μεγάλοι οργανισμοί και ιδρύματα έχουν πέσει θύματα τέτοιων επιθέσεων.

Το Ransomware Disguise του WhisperGate

Ένα από τα περίεργα πράγματα σχετικά με αυτό το ransomware είναι ότι χρησιμοποιεί ένα προσαρμοσμένο μήνυμα για να αντικαταστήσει το Master Boot Record. Αυτό σημαίνει ότι όταν το σύστημα εκκινήσει ξανά, θα εμφανίσει το μήνυμα των εγκληματιών. Παραδόξως, προτρέπει τα θύματα να πληρώσουν ένα τέλος λύτρων ύψους 10.000 $ μέσω Bitcoin - διασφαλίζοντάς τους ότι τα αρχεία τους θα ανακτηθούν αφού πληρώσουν. Ωστόσο, η ανάλυση δείχνει ότι το WhisperGate δεν κρυπτογραφεί πραγματικά αρχεία – απλώς αντικαθιστά και αλλοιώνει το περιεχόμενό τους. Αυτό σημαίνει ότι οι δημιουργοί του ransomware δεν μπορούν να αναιρέσουν τη ζημιά που προκαλεί το κακόβουλο λογισμικό τους.

Η επίθεση συνήθως πραγματοποιείται σε δύο στάδια. Πρώτα, το MBR κρυπτογραφείται και, στη συνέχεια, τα αρχεία καταστρέφονται επίσης. Το κακόβουλο λογισμικό WhisperGate στοχεύει δημοφιλείς μορφές αρχείων για να μεγιστοποιήσει τη ζημιά του – ένας κοινός τρόπος λειτουργίας για ransomware και υαλοκαθαριστήρες. Ένα άλλο ενδιαφέρον πράγμα σχετικά με το κακόβουλο λογισμικό WhisperGate είναι ότι ξεκινά την επίθεσή του μόνο όταν η συσκευή απενεργοποιηθεί – αυτό σημαίνει ότι η εκκίνηση του κακόβουλου λογισμικού δεν θα προκαλέσει αλλαγές μέχρι να κλείσει η συσκευή.

Μέχρι στιγμής, το WhisperGate έχει χρησιμοποιηθεί αποκλειστικά σε επιθέσεις εναντίον οντοτήτων και οργανισμών που εδρεύουν στην Ουκρανία – όπως μεγάλα ονόματα στον ενεργειακό τομέα. Αυτό είναι πιθανό να σημαίνει ότι ο επιτιθέμενος είναι ένας κρατικός φορέας απειλών του οποίου ο απώτερος στόχος είναι να καταστρέψει κρίσιμες υποδομές στην Ουκρανία.

January 19, 2022