Les chercheurs en cybersécurité qui suivent les attaques destructrices de logiciels malveillants d'effacement de données en Ukraine découvrent des signes de nouveaux logiciels malveillants avec des capacités de propagation de vers et ce qui semble être un leurre de rançongiciel rudimentaire.
Selon de nouvelles recherches de la société anti-malware slovaque ESET, les cyberattaques ont commencé quelques heures avant l'invasion de l'Ukraine par la Russie le 24 février avec des attaques DDoS contre des sites Web du gouvernement ukrainien et se sont rapidement transformées en attaques d'effacement visant à détruire les données sur les réseaux informatiques.
Au total, ESET a découvert que les attaques initiales utilisaient trois composants :
• Hermétique rend un système inutilisable en corrompant ses données
• Assistant Hermétique propage l'effaceur de données comme un ver informatique sur un réseau local via WMI et SMB
• HermétiqueRançon ajoute un composant rançongiciel d'extorsion de données écrit en Go
Un jour plus tard, ESET a déclaré que sa technologie avait intercepté un autre nouvel essuie-glace dans un réseau gouvernemental ukrainien.
[ LIS: Le malware destructeur « HermeticWiper » frappe les ordinateurs en Ukraine ]
"Nous l'avons nommé IsaacWiper et nous évaluons actuellement ses liens, le cas échéant, avec HermeticWiper. Il est important de noter qu'il a été vu dans une organisation qui n'a pas été affectée par HermeticWiper », a déclaré ESET dans documentation publique.
La société a déclaré qu'elle n'avait trouvé aucun lien tangible avec un acteur de menace connu, mais note que les composants d'essuie-glace et de propagation de vers sont signés par un certificat de signature de code attribué à Hermetic Digital.
Les chercheurs d'ESET sont certains que les organisations infectées ont été compromises bien avant le déploiement de l'effaceur de données et ont déclaré qu'il existe des preuves que le plus ancien échantillon connu d'IsaacWiper a été compilé en octobre 2021.
Le vecteur d'accès initial pour l'effaceur de données est actuellement inconnu, mais les chasseurs de menaces d'ESET ont trouvé des signes de mouvement latéral à l'intérieur des organisations ciblées. "Dans une entité, l'essuie-glace a été déployé via la politique de domaine par défaut (GPO)", a déclaré la société.
[ LIS: Microsoft : les cyberattaques en Ukraine frappent des cibles numériques civiles ]
En plus d'ESET, plusieurs fournisseurs de sécurité d'entreprise ont documenté divers aspects des cyberattaques numériques en Ukraine avec Microsoft met en garde contre des cibles numériques civiles et Symantec confirmant le attaques d'effacement de disque précédées l'invasion russe.
Les chercheurs de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky décrivent le composant de cryptage des données HermeticRansom comme un "écran de fumée" et ont confirmé qu'il a été utilisé pour cibler des actifs le même jour que le malware HermeticWiper.
"Compte tenu des circonstances dans lesquelles HermeticRansom est apparu, y compris la date, l'heure et la géolocalisation des victimes, nous sommes modérément convaincus qu'il est lié aux objectifs généraux d'HermeticWiper - détruire ou rendre les systèmes Windows inutilisables en raison de la perte de données", Kaspersky a dit.
"[C'est un] excellent exemple d'attaque ciblée empêchant les victimes d'utiliser leurs données tout en agissant potentiellement comme un écran de fumée pour de nouvelles attaques. La simplicité du code, ainsi que les erreurs de grammaire et d'orthographe laissées dans la note de rançon, indiquent probablement qu'il s'agissait d'une opération de dernière minute, potentiellement déployée pour renforcer l'efficacité d'autres cyberattaques contre l'Ukraine », a ajouté Kaspersky.
L'agence de cybersécurité du gouvernement américain CISA a publié des indicateurs de compromis pour aider les chasseurs de menaces à rechercher des signes de menaces d'effacement de données dans les réseaux informatiques.
Connexe: Russie vs Ukraine – La guerre dans le cyberespace
Connexe: Microsoft : les cyberattaques en Ukraine frappent des cibles numériques civiles
Connexe: La CISA et le FBI émettent des avertissements sur les attaques WhisperGate et HermeticWiper
Connexe: Microsoft et Symantec partagent des notes sur les piratages russes frappant l'Ukraine
Connexe: Ransomware utilisé comme leurre dans les cyberattaques destructrices en Ukraine
Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.
Mots clés:
