Le logiciel malveillant WhisperGate récemment détecté est utilisé par un groupe de menaces auparavant inconnu dans des cyberattaques contre l'Ukraine
Microsoft a mis en garde samedi contre l'utilisation d'un nouveau logiciel malveillant destructeur dans des cyberattaques contre le gouvernement ukrainien.
Décrit par un éventuel effaceur de Master Boot Record (MBR), Microsoft affirme que le malware est exécuté lorsqu'un appareil impacté est éteint et se déguise en ransomware, mais il manque un mécanisme de récupération de rançon et est destiné à être destructeur et à cibler les appareils.
Le géant de la technologie dit que les logiciels malveillants, qu'il appelle "chuchotement», est apparu pour la première fois sur les systèmes de victimes en Ukraine le 13 janvier 2022 et ciblait plusieurs organisations, toutes en Ukraine.
Bien que Microsoft affirme n'avoir trouvé aucune association notable entre l'activité observée (qu'il suit comme DEV-0586) et d'autres groupes menaçants connus, Ukraine a déclaré dimanche qu'il avait des "preuves" que la Russie était derrière les attentats.
Un expert en cybersécurité du secteur privé à Kiev dit à l'Associated Press que les attaquants ont pénétré les réseaux gouvernementaux via un fournisseur de logiciels partagés lors d'une attaque de la chaîne d'approvisionnement.
"À l'heure actuelle et sur la base de la visibilité de Microsoft, nos équipes d'enquête ont identifié le malware sur des dizaines de systèmes concernés et ce nombre pourrait augmenter à mesure que notre enquête se poursuit", a déclaré Microsoft dans un communiqué. blog. "Ces systèmes couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l'information, toutes basées en Ukraine."
Le Microsoft Threat Intelligence Center (MSTIC) a partagé des tactiques, des techniques et des procédures (TTP), ainsi que des indicateurs de compromission (IOC) liés aux attaques.
[ VIDÉO: John Lambert de Microsoft sur un meilleur partage d'informations dans la cybersécurité ]
"Nous ne connaissons pas l'étape actuelle du cycle opérationnel de cet attaquant ni combien d'autres organisations de victimes peuvent exister en Ukraine ou dans d'autres zones géographiques", a ajouté Microsoft. "Cependant, il est peu probable que ces systèmes impactés représentent toute l'étendue de l'impact, comme le signalent d'autres organisations."
Le service de sécurité ukrainien SBU a déclaré que les attaques visaient au moins 70 sites Web gouvernementaux.
"L'existence de logiciels malveillants d'effacement déguisés en rançongiciels n'est pas nouvelle", a déclaré Calvin Gan, responsable principal, Défense tactique chez F-Secure. SecurityWeek. "WhisperGate ou DEV-0586 comme Microsoft l'appelle a une ressemblance similaire à NotPetya découvert en 2017, qui est également un malware d'essuie-glace déguisé en ransomware. NotPetya à cette époque a paralysé de nombreuses entreprises en Ukraine, en France, en Russie, en Espagne et aux États-Unis. Ensuite, il y a aussi le groupe Agrius suivi par des chercheurs de SentinelOne qui a récemment utilisé des logiciels malveillants d'effacement sur leurs organisations cibles au Moyen-Orient.
Commentant la nature destructrice du logiciel malveillant, Gan rappelle que l'écrasement du MBR rendrait la machine impossible à démarrer, rendant la récupération impossible, en particulier lorsque le logiciel malveillant écrase également le contenu du fichier avant d'écraser le MBR.
"Bien que la véritable intention de l'attaquant de déployer un rançongiciel d'effacement couplé à un corrompeur de fichiers ne soit pas connue pour le moment", a déclaré Gan, "le ciblage des agences gouvernementales et des établissements associés est un signe qu'ils veulent que les opérations dans ces organisations cessent immédiatement. Peut-être que l'adresse du portefeuille bitcoin et le canal de communication dans la note de rançon de WhisperGate sont un écran de fumée pour détourner l'attention de la véritable intention de l'attaquant tout en rendant plus difficile leur suivi.
Depuis plus de 10 ans, Mike Lennon surveille de près le paysage des menaces et analyse les tendances dans le domaine de la sécurité nationale et de la cybersécurité des entreprises. Dans son rôle à SecurityWeek, il supervise la direction éditoriale de la publication et est le directeur de plusieurs conférences de premier plan sur l'industrie de la sécurité à travers le monde.
Mots clés: 
