【扮勒索】全新惡意軟件WhisperGate 二階段攻擊旨在刪除電腦數據

    烏克蘭、俄羅斯對峙局勢日漸升溫,而 Microsoft 網絡安全專家近日發現,有新的惡意軟件假扮成勒索軟件,向烏克蘭多個機構發動網絡攻擊,收錢並非主要目標,而是將受害者的電腦鎖死及銷毁儲存的數據。專家估計這次攻擊旨在製造社會混亂,從另一層面撼動烏克蘭政府的管治根基。

    Microsoft 專家解釋,這次發現的 WhisperGate 是一種全新的惡意軟件,暫時仍無法掌握是由哪一個網絡犯罪集團所操控。WhisperGate是由兩種完全不同的攻擊組成。Stage1.exe 首先會在 C drive 的 PerfLogs、ProgramData 或 temp 資料夾內執行,它會取代 Windows 作業系統的主開機記錄,導致系統無法起動及存取電腦內的資料,同時可以脅持屏幕顯示,換上一張勒索贖款告示,指示受害者將價值一萬美元的比特幣 (bitcoin) 存入特定帳戶,並留下一個 Tox chat 的 ID,讓受害者可以與他們聯繫。

    首部分的攻擊手術與一般勒索軟件無異,但專家在拆解 WhisperGate 的 stage2.exe 後,便發現犯罪集團根本無意為受害者解鎖,因為 WhisperGate 第二階段攻擊會從 Discord 平台下載另一款刪除數據惡意程式,執行後會將電腦內指定的數十款檔案類型如 7z、BAT、DOCX、SQL 等,逐一以垃圾數據覆蓋,如受害者未有備份系統,無論有否交付贖金,亦無法還原檔案內容,可見收贖金只是虛招,背後動機旨在令受害機構無法正常運作。

    此外,Microsoft 安全專家指出,勒索軟件集團很少使用 Tox chat 與受害者連繫,在贖金告示版面上亦未有提供輸入解鎖密碼的欄位,再加上多個受害機構所獲得的比特幣存款帳戶均為同一個帳戶,從種種跡象均可顯示,WhisperGate 的主要目標並非賺錢,所以專家估計這次攻擊與烏克蘭的地緣政治日趨緊張有關,情況就如 2017 年烏克蘭企業及機構遭受 NotPetya 虛假勒索軟件攻擊一樣,勒索只是幌子,搞亂才是真正目的。

    資料來源:https://bit.ly/3rv8cLh

    #Microsoft #NotPetya #Ransomware #WhisperGate #Windows #勒索軟件

    相關文章