WhisperGate Malware podąża za celami na Ukrainie

WhisperGate to nowe złośliwe oprogramowanie, które jest obecnie klasyfikowane jako narzędzie do czyszczenia dysku, które może również uszkodzić główny rekord rozruchowy (MBR) zainfekowanych urządzeń. Te ataki są niezwykle destrukcyjne, ponieważ osiągają dwie rzeczy. Po pierwsze, uniemożliwiają dostęp do plików ofiary. Po drugie, zapewniają również, że użytkownik może nie być w stanie uruchomić systemu, ponieważ główny rekord rozruchowy został całkowicie nadpisany. W ostatnich latach wiele dużych organizacji i instytucji padło ofiarą takich ataków.

Przebranie ransomware WhisperGate

Jedną z osobliwych cech tego oprogramowania ransomware jest to, że używa on niestandardowej wiadomości do nadpisania głównego rekordu rozruchowego. Oznacza to, że gdy system uruchomi się ponownie, pokaże wiadomość przestępców. Co zaskakujące, zachęca ofiary do zapłacenia za pośrednictwem Bitcoina opłaty okupu w wysokości 10 000 USD – zapewniając je, że ich pliki zostaną odzyskane po zapłaceniu. Jednak analiza pokazuje, że WhisperGate tak naprawdę nie szyfruje plików – po prostu nadpisuje i uszkadza ich zawartość. Oznacza to, że twórcy ransomware nie są w stanie cofnąć szkód wyrządzonych przez ich złośliwe oprogramowanie.

Atak jest zwykle przeprowadzany w dwóch etapach. Najpierw MBR jest zaszyfrowany, a następnie pliki są również uszkodzone. WhisperGate Malware atakuje popularne formaty plików, aby zmaksymalizować jego uszkodzenia – typowy sposób działania oprogramowania ransomware i wycieraczek. Inną interesującą rzeczą dotyczącą WhisperGate Malware jest to, że rozpoczyna swój atak dopiero po wyłączeniu urządzenia – oznacza to, że uruchomienie złośliwego oprogramowania nie spowoduje żadnych zmian, dopóki urządzenie się nie wyłączy.

Do tej pory WhisperGate wykorzystywano wyłącznie w atakach na podmioty i organizacje ukraińskie – takie jak czołowe nazwiska w sektorze energetycznym. Może to oznaczać, że atakujący jest sponsorowanymi przez państwo podmiotami zajmującymi się zagrożeniami, których ostatecznym celem jest zniszczenie infrastruktury krytycznej na Ukrainie.

January 19, 2022