微軟揭露攻擊烏克蘭的惡意程式

微軟在13日察覺有駭客針對烏克蘭展開大規模的網路攻擊，分析後將攻擊所使用的惡意程式稱為WhisperGate，並說攻擊行動中雖然出現勒索信件，卻只是掩人耳目，因為它實際上破壞的是電腦主開機紀錄（Master Boot Record，MBR）與特定檔案的內容。

微軟威脅情報中心（Microsoft Threat Intelligence Center，MTIC）把這次攻擊行動的代號暫定為DEV-0586，並未發現這次的攻擊行動與已知的駭客集團有關，也無從評估駭客的意圖。不過，此一攻擊至少擴及烏克蘭的數十個系統，涵蓋政府機構、非營利組織及資訊科技組織，迄今尚無法確定實際的損害規模。

根據MTIC針對此一網路攻擊行動的分析，駭客的第一步是竄改MBR並顯示假的勒索信件，有多個跡象顯示駭客並未真正植入勒索軟體，例如它僅竄改MBR但並未具備復原機制；或者是在勒索信中罕見地公布了贖金金額與加密貨幣電子錢包位址；以及它僅提供了一個Tox ID作為聯繫窗口，一般而言，駭客為了方便與受害者交流，都會設立一個支援論壇或是提供電子郵件帳號；再加上駭客並未於勒索信中建立客戶ID，代表駭客根本無從得知要以哪個解密金鑰替受害者解鎖。

第二步則是下載了可用來破壞檔案的惡意程式，執行後它會變更特定檔案的副檔名，並覆蓋相關檔案的內容，再變更其檔案名稱。

目前微軟已於Microsoft Defender Antivirus及Microsoft Defender for Endpoint中添增了對WhisperGate的偵測與防堵能力，同時公布了WhisperGate的危害指標供外界參考。