WhisperGate Malware går efter Ukrainas mål

WhisperGate är en ny del av skadlig programvara, som för närvarande kategoriseras som en disktorkare, som också kan korrumpera Master Boot Record (MBR) för infekterade enheter. Dessa attacker är otroligt destruktiva eftersom de uppnår två saker. Först gör de offrets filer otillgängliga. Och för det andra säkerställer de också att användaren kanske inte kan starta sitt system eftersom Master Boot Record har skrivits över helt. Under de senaste åren har många stora organisationer och institutioner fallit offer för sådana attacker.

WhisperGates Ransomware-förklädnad

En av de märkliga sakerna med denna ransomware är att den använder ett anpassat meddelande för att skriva över Master Boot Record. Det betyder att när systemet startar upp igen kommer det att visa brottslingarnas budskap. Överraskande nog uppmanar den offren att betala en lösensumma på $10 000 via Bitcoin – vilket försäkrar dem att deras filer kommer att återställas efter att de har betalat. Analys visar dock att WhisperGate inte riktigt krypterar filer – den skriver bara över och korrumperar deras innehåll. Detta innebär att skaparna av ransomware inte kan ångra skadan som deras skadliga programvara gör.

Attacken utförs vanligtvis i två steg. Först krypteras MBR, och sedan är filerna också skadade. WhisperGate Malware riktar sig mot populära filformat för att maximera skadan – ett vanligt arbetssätt för ransomware och torkare. En annan intressant sak med WhisperGate Malware är att den bara startar sin attack när enheten stängs av – detta betyder att lansering av skadlig programvara inte kommer att orsaka några förändringar förrän enheten stängs av.

Hittills har WhisperGate uteslutande använts i attacker mot Ukraina-baserade enheter och organisationer – till exempel stora namn inom energisektorn. Detta kommer sannolikt att betyda att angriparen är en statligt sponsrad hotaktör vars yttersta mål är att ta ner kritisk infrastruktur i Ukraina.