WhisperGate-malware gaat achter Oekraïense doelen aan

WhisperGate is een nieuw stukje malware, dat momenteel is gecategoriseerd als een schijfwisser, die ook het Master Boot Record (MBR) van geïnfecteerde apparaten kan beschadigen. Deze aanvallen zijn ongelooflijk destructief omdat ze twee dingen bereiken. Ten eerste maken ze de bestanden van het slachtoffer ontoegankelijk. En ten tweede zorgen ze er ook voor dat de gebruiker zijn systeem mogelijk niet kan opstarten omdat het Master Boot Record volledig is overschreven. De afgelopen jaren zijn veel grote organisaties en instellingen het slachtoffer geworden van dergelijke aanvallen.

WhisperGate's Ransomware-vermomming

Een van de bijzondere dingen van deze ransomware is dat het een aangepast bericht gebruikt om het Master Boot Record te overschrijven. Dit betekent dat wanneer het systeem opnieuw opstart, het de boodschap van de criminelen zal tonen. Verrassend genoeg dringt het er bij slachtoffers op aan om een losgeld van $ 10.000 te betalen via Bitcoin, wat hen verzekert dat hun bestanden worden hersteld nadat ze hebben betaald. Analyse toont echter aan dat de WhisperGate bestanden niet echt versleutelt - het overschrijft en corrumpeert gewoon hun inhoud. Dit betekent dat de makers van de ransomware de schade die hun malware aanricht niet ongedaan kunnen maken.

De aanval wordt meestal in twee fasen uitgevoerd. Eerst wordt de MBR gecodeerd en vervolgens zijn de bestanden ook beschadigd. De WhisperGate-malware richt zich op populaire bestandsindelingen om de schade te maximaliseren - een veelgebruikte modus operandi voor ransomware en wipers. Een ander interessant aspect van de WhisperGate-malware is dat het pas met zijn aanval begint wanneer het apparaat wordt uitgeschakeld. Dit betekent dat het starten van de malware geen wijzigingen zal veroorzaken totdat het apparaat wordt uitgeschakeld.

Tot nu toe is de WhisperGate uitsluitend gebruikt bij aanvallen op in Oekraïne gevestigde entiteiten en organisaties, zoals grote namen in de energiesector. Dit betekent waarschijnlijk dat de aanvaller een door de staat gesteunde dreigingsactoren is wiens uiteindelijke doel het is om kritieke infrastructuur in Oekraïne uit te schakelen.

January 19, 2022