A WhisperGate rosszindulatú program az ukrajnai célokat követi

A WhisperGate egy új, jelenleg a lemeztörlő kategóriába sorolt rosszindulatú program, amely a fertőzött eszközök Master Boot Record-ját (MBR) is megrongálhatja. Ezek a támadások hihetetlenül pusztítóak, mivel két dolgot érnek el. Először is hozzáférhetetlenné teszik az áldozat aktáit. Másodszor pedig azt is biztosítják, hogy a felhasználó esetleg ne tudja elindítani a rendszert, mert a Master Boot Record teljesen felül lett írva. Az elmúlt években sok nagy szervezet és intézmény esett áldozatul ilyen támadásoknak.

A WhisperGate Ransomware álcája

Ennek a ransomware-nek az egyik különlegessége, hogy egyéni üzenetet használ a Master Boot Record felülírására. Ez azt jelenti, hogy amikor a rendszer újraindul, megjelenik a bűnözők üzenete. Meglepő módon arra kéri az áldozatokat, hogy fizessenek 10 000 dolláros váltságdíjat Bitcoinon keresztül – biztosítva őket arról, hogy fájljaikat a fizetés után visszanyerjék. Az elemzés azonban azt mutatja, hogy a WhisperGate valójában nem titkosítja a fájlokat – egyszerűen felülírja és megsérti a tartalmukat. Ez azt jelenti, hogy a zsarolóprogramok készítői nem tudják helyrehozni a rosszindulatú programjaik által okozott károkat.

A támadást általában két szakaszban hajtják végre. Először az MBR titkosításra kerül, majd a fájlok is megsérülnek. A WhisperGate Malware a népszerű fájlformátumokat célozza meg, hogy maximalizálja a kárt – ez a zsarolóvírusok és ablaktörlők általános működési módja. A WhisperGate Malware másik érdekessége, hogy csak az eszköz kikapcsolásakor kezdi meg a támadást – ez azt jelenti, hogy a kártevő indítása nem okoz változást az eszköz leállásáig.

A WhisperGate-et eddig kizárólag az ukrajnai székhelyű entitások és szervezetek – például az energiaszektor jelentős nevei – elleni támadásoknál használták. Ez valószínűleg azt jelenti, hogy a támadó egy államilag szponzorált fenyegetési szereplő, akinek végső célja a kritikus infrastruktúra leépítése Ukrajnában.

January 19, 2022