WishperGate Malware Analysis

1 minute read

Published:

Laporan merah kembali tercatat pada awal tahun 2022. hal ini terbukti dengan kembali terdeteksinya beberapa jenis malware baru. Menurut laporan yang ditulis oleh cisa pada tanggal 26 februari 2022 kemarin, Terdapat jeni malware baru yang termasuk kedalam kategori malware destructive. Dimana terdeteksinya malware tersebut bertepatan dengan isu agresi militer Russi terhadap Ukraina. Malware ini pun ditujukan khusu untuk organisasi ataupun instansi pemerintahan ukraina.


WhisperGate, begitu beberapa forum memberikan nama untuk jenis malware baru ini. Umumnya berbagaia jenis antivirus mendeteksi malware WhsiperGate sebagai salah satu jenis keluarga dari ransomware. Namun pada kenyataanya malware WhisperGate ini cukup berbeda jika dibandingkan dengan Ransomware. Malware WhisperGate akan menghancurkan atau menghapus total file yang berada pada device target, dan tidak akan mengembalikan data walaupun korban telah membayar tebusan.

Karakteristik WhisperGate memiliki kesaaman terhadap malware NotPetya. Dimana malware NotPetya telah lebih dulu muncul. Hal ini membuktikan bahwa, Teknik penyamaran sebagai ransomware bukan pertama kalinya. Dalam kasus penyebaran yang dilakukan oleh WhisperGate ini, korban akan menerima beberapa payload yang mencoba melakukan proses penghapusan MBR serta menuliskan catatan seperti ransomware umumnya. Di waktu yang bersaaman, WhisperGate akan mencoba melakukan perusakan partisi C:\ dengan cara menuliskan beberapa data pada MBR.

Secara umum, terdapat 3 tahap penyebaran serangan WhisperGate. Pada gambar 1 terlihat bahwa stage 1 akan melakukan aksi penulisan payload secara terus menerus pada MBR device target dan disaat yang bersamaan juga menjalankan perintah penghancuran semua partisi pada device target. Pada stage2, proses penyebaran tergolong cukup singkat. Dimana pada stage2 ini akan menjalankan proses download file stage3. Pada akhir tahap penyebaran yang dilakukan oleh stage3, akan melakukan beberapa proses. Proses pertama yaitu menjalankan perintan advancerun yang dimana akan menghasilkan menonaktifkan layanan windows defender serta mengijinkan device untuk menginstall file apa saja. Proses kedua yaitu akan menjalankan proses penghapusan massal semua data pada device target termasuk juga malware tersebut.

Read More