微软在13日发现有黑客针对乌克兰展开大规模的网络攻击,分析后将攻击所使用的恶意程序称为WhisperGate,并说攻击行动中虽然出现勒索信件,却只是掩人耳目,因为它实际上破坏的是计算机主开机记录(Master Boot Record,MBR)与特定文件的内容。
微软威胁情报中心(Microsoft Threat Intelligence Center,MTIC)把这次的攻击行动命名为DEV-0586,并未发现这次的攻击行动与已知的黑客集团有关,也无从评估黑客的意图。不过,该攻击至少波及乌克兰的数十个系统,涵盖政府机构、非营利组织及信息科技组织,迄今尚无法确定实际的损害规模。
根据MTIC针对该网络攻击行动的分析,黑客的第一步是篡改MBR并显示假的勒索信件,有多个迹象显示黑客并未真正植入勒索软件,例如它仅篡改MBR但并未具备恢复机制;或者是在勒索信中罕见地公布了赎金金额与加密货币电子钱包地址;以及它仅提供了一个Tox ID作为联系窗口,一般而言,黑客为了方便与受害者交流,都会设立一个支持论坛或是提供电子邮件账号;再加上黑客并未于勒索信中创建客户ID,代表黑客根本无从得知要以哪个解密密钥替受害者解锁。
第二步则是下载了可用来破坏文件的恶意程序,执行后它会变更特定文件的文件扩展名,并覆盖相关文件的内容,再变更其文件名称。
目前微软已于Microsoft Defender Antivirus及Microsoft Defender for Endpoint中添增了对WhisperGate的侦测与防堵能力,同时公布了WhisperGate的危害指标供外界参考。