El 15 de enero de 2022, se informó que se implementó un paquete de malware llamado WhisperGate contra objetivos ucranianos. Se informa ampliamente que el incidente contiene tres componentes individuales implementados por el mismo adversario, incluido un gestor de arranque malicioso que corrompe las unidades locales detectadas, un descargador basado en Discord y un limpiador de archivos.
WhisperGate es un programa de tipo ransomware. Por lo general, el software malicioso dentro de esta clasificación bloquea la pantalla del dispositivo infectado (bloqueador de pantalla) y/o encripta los archivos, para exigir rescates por la recuperación/desencriptado del acceso. Sin embargo..... WhisperGate no tiene un mecanismo de descifrado o recuperación de datos, y tiene inconsistencias con el malware comúnmente implementado en las operaciones de ransomware.
El mensaje que se muestra sugiere que las víctimas pueden esperar la recuperación de sus datos, pero... esto es técnicamente imposible. Es muy probable que estas inconsistencias indiquen que la actividad de WhisperGate tiene como objetivo destruir los datos de los activos afectados.
No hay duda de que WhisperGate fue diseñado para causar la mayor destrucción posible. Si la billetera digital de los ciberdelincuentes permanece disponible, los pagos extraídos de las víctimas son simplemente una bonificación y no el objetivo real.
Esta actividad recuerda al destructivo malware NotPetya de VOODOO BEAR, que mostraba un componente que se hacía pasar por la utilidad legítima después de un reinicio y corrompía la tabla maestra de archivos (MFT) del host, un componente crítico del sistema de archivos NTFS de Microsoft.
Es importante y se recomiendan encarecidamente mantener copias de seguridad en varias ubicaciones separadas por ejemplo: dispositivos de almacenamiento, servidores remotos, etc. para evitar la pérdida permanente de datos.
