WhisperGate Malware går etter Ukrainas mål

WhisperGate er et nytt stykke skadelig programvare, som for øyeblikket er kategorisert som en diskvisker, som også kan ødelegge Master Boot Record (MBR) til infiserte enheter. Disse angrepene er utrolig ødeleggende siden de oppnår to ting. For det første gjør de offerets filer utilgjengelige. Og for det andre sørger de også for at brukeren kanskje ikke kan starte opp systemet sitt fordi Master Boot Record har blitt overskrevet fullstendig. De siste årene har mange store organisasjoner og institusjoner blitt ofre for slike angrep.

WhisperGates Ransomware-forkledning

En av de særegne tingene med denne løsepengevaren er at den bruker en tilpasset melding for å overskrive Master Boot Record. Dette betyr at når systemet starter opp igjen, vil det vise budskapet til de kriminelle. Overraskende nok oppfordrer den ofrene til å betale en løsepenge på $10 000 via Bitcoin – for å forsikre dem om at filene deres vil bli gjenopprettet etter at de har betalt. Analyser viser imidlertid at WhisperGate egentlig ikke krypterer filer - den overskriver og ødelegger innholdet deres. Dette betyr at skaperne av løsepengevaren ikke er i stand til å angre skaden deres skadevare gjør.

Angrepet utføres vanligvis i to etapper. Først blir MBR-en kryptert, og deretter blir filene også ødelagt. WhisperGate Malware retter seg mot populære filformater for å maksimere skaden – en vanlig modus operandi for løsepengeprogramvare og vindusviskere. En annen interessant ting med WhisperGate Malware er at den først starter angrepet når enheten slås av – dette betyr at lansering av skadelig programvare ikke vil føre til endringer før enheten slår seg av.

Så langt har WhisperGate blitt brukt utelukkende i angrep mot Ukraina-baserte enheter og organisasjoner – for eksempel store navn i energisektoren. Dette vil sannsynligvis bety at angriperen er en statsstøttet trusselaktører hvis endelige mål er å ta ned kritisk infrastruktur i Ukraina.