圖片來源: 

Photo by Michael Geiger on Unsplash

微軟在13日察覺有駭客針對烏克蘭展開大規模的網路攻擊,分析後將攻擊所使用的惡意程式稱為WhisperGate,並說攻擊行動中雖然出現勒索信件,卻只是掩人耳目,因為它實際上破壞的是電腦主開機紀錄(Master Boot Record,MBR)與特定檔案的內容。

微軟威脅情報中心(Microsoft Threat Intelligence Center,MTIC)把這次攻擊行動的代號暫定為DEV-0586,並未發現這次的攻擊行動與已知的駭客集團有關,也無從評估駭客的意圖。不過,此一攻擊至少擴及烏克蘭的數十個系統,涵蓋政府機構、非營利組織及資訊科技組織,迄今尚無法確定實際的損害規模。

根據MTIC針對此一網路攻擊行動的分析,駭客的第一步是竄改MBR並顯示假的勒索信件,有多個跡象顯示駭客並未真正植入勒索軟體,例如它僅竄改MBR但並未具備復原機制;或者是在勒索信中罕見地公布了贖金金額與加密貨幣電子錢包位址;以及它僅提供了一個Tox ID作為聯繫窗口,一般而言,駭客為了方便與受害者交流,都會設立一個支援論壇或是提供電子郵件帳號;再加上駭客並未於勒索信中建立客戶ID,代表駭客根本無從得知要以哪個解密金鑰替受害者解鎖。

第二步則是下載了可用來破壞檔案的惡意程式,執行後它會變更特定檔案的副檔名,並覆蓋相關檔案的內容,再變更其檔案名稱。

目前微軟已於Microsoft Defender Antivirus及Microsoft Defender for Endpoint中添增了對WhisperGate的偵測與防堵能力,同時公布了WhisperGate的危害指標供外界參考。

熱門新聞

Advertisement