Le logiciel malveillant WhisperGate s'attaque aux cibles ukrainiennes

WhisperGate est un nouveau logiciel malveillant, qui est actuellement classé comme un effaceur de disque, qui peut également corrompre le Master Boot Record (MBR) des appareils infectés. Ces attaques sont incroyablement destructrices car elles réalisent deux choses. Premièrement, ils rendent les fichiers de la victime inaccessibles. Et, deuxièmement, ils garantissent également que l'utilisateur pourrait ne pas être en mesure de démarrer son système car le Master Boot Record a été complètement écrasé. Ces dernières années, de nombreuses grandes organisations et institutions ont été victimes de telles attaques.

Le déguisement du ransomware de WhisperGate

L'une des particularités de ce rançongiciel est qu'il utilise un message personnalisé pour écraser le Master Boot Record. Cela signifie que lorsque le système redémarrera, il affichera le message des criminels. Étonnamment, il exhorte les victimes à payer une rançon de 10 000 $ via Bitcoin - leur assurant que leurs fichiers seront récupérés après avoir payé. Cependant, l'analyse montre que WhisperGate ne crypte pas vraiment les fichiers - il écrase et corrompt simplement leur contenu. Cela signifie que les créateurs du rançongiciel ne sont pas en mesure de réparer les dommages causés par leur logiciel malveillant.

L'attaque se déroule généralement en deux temps. Tout d'abord, le MBR est crypté, puis les fichiers sont également corrompus. Le WhisperGate Malware cible les formats de fichiers populaires pour maximiser ses dégâts - un mode opératoire courant pour les ransomwares et les essuie-glaces. Une autre chose intéressante à propos du WhisperGate Malware est qu'il ne démarre son attaque que lorsque l'appareil s'éteint - cela signifie que le lancement du malware ne causera aucun changement jusqu'à ce que l'appareil s'éteigne.

Jusqu'à présent, le WhisperGate a été utilisé exclusivement dans des attaques contre des entités et des organisations basées en Ukraine, telles que de grands noms du secteur de l'énergie. Cela signifie probablement que l'attaquant est un acteur de la menace parrainé par l'État dont le but ultime est de détruire les infrastructures critiques en Ukraine.

January 19, 2022