„WhisperGate“ kenkėjiška programa eina po Ukrainos taikinių

„WhisperGate“ yra nauja kenkėjiška programa, kuri šiuo metu priskiriama disko valytuvų kategorijai, kuri taip pat gali sugadinti užkrėstų įrenginių pagrindinį įkrovos įrašą (MBR). Šie išpuoliai yra neįtikėtinai destruktyvūs, nes jais pasiekiami du dalykai. Pirma, jie padaro aukos failus neprieinami. Antra, jie taip pat užtikrina, kad vartotojas negalėtų paleisti savo sistemos, nes pagrindinis įkrovos įrašas buvo visiškai perrašytas. Pastaraisiais metais daug didelių organizacijų ir įstaigų tapo tokių išpuolių aukomis.

WhisperGate's Ransomware maskavimas

Vienas iš ypatingų dalykų, susijusių su šia išpirkos programa, yra tai, kad ji naudoja pasirinktinį pranešimą, kad perrašytų pagrindinį įkrovos įrašą. Tai reiškia, kad kai sistema vėl įsijungs, ji parodys nusikaltėlių žinią. Keista, kad aukos raginamos sumokėti 10 000 USD išpirkos mokestį per „Bitcoin“, užtikrinant, kad jų failai bus atkurti sumokėjus. Tačiau analizė rodo, kad WhisperGate failų tikrai nešifruoja – tiesiog perrašo ir sugadina jų turinį. Tai reiškia, kad išpirkos reikalaujančios programinės įrangos kūrėjai negali panaikinti žalos, kurią daro jų kenkėjiška programa.

Išpuolis paprastai vyksta dviem etapais. Pirma, MBR yra užšifruotas, o tada failai taip pat sugadinami. „WhisperGate“ kenkėjiška programa nukreipta į populiarius failų formatus, kad padidintų žalą – įprastas išpirkos reikalaujančių programų ir valytuvų veikimo būdas. Kitas įdomus dalykas, susijęs su WhisperGate kenkėjiška programa, yra tai, kad ji pradeda ataką tik tada, kai įrenginys išsijungia – tai reiškia, kad kenkėjiškos programos paleidimas nesukels jokių pakeitimų, kol įrenginys neišsijungs.

Iki šiol „WhisperGate“ buvo naudojamas tik atakoms prieš Ukrainoje įsikūrusius subjektus ir organizacijas, pavyzdžiui, pagrindinius energetikos sektoriaus vardus. Tai greičiausiai reikš, kad užpuolikas yra valstybės remiamas grėsmės veikėjas, kurio galutinis tikslas yra sugriauti svarbiausią infrastruktūrą Ukrainoje.