Hacktu Magazine Le magazine de la cybersécurité
Alors que le conflit entre la Russie s’intensifie sur le front militaire, une nouvelle forme de logiciels malveillants dit Wiper a fait surface en Ukraine et d’autres pays. Un wiper spécifique à Windows a été déjà observé sur des « centaines de machines », selon l’entreprise spécialisée en cybersécurité ESET. Ce logiciel malveillant exploite les vulnérabilités des pilotes légitimes du logiciel EaseUS Partition Master, afin de corrompre les données, voire d’effacer complètement les données et même détruire complètement le système d’exploitation.
Dans l’une des organisations ciblées, le malware a été supprimé via l’objet de stratégie de groupe (stratégie de domaine) par défaut, ce qui signifie que les attaquants ont probablement pris le contrôle du serveur Active Directory ».
QU’EST-CE QU’UN WIPER ?
Un Wiper, terme anglais signifiant balayer, essuyer, racler, etc., est une nouvelle forme de logiciel malveillant qui va complètement détruire, balayer toutes données qu’il peut trouver sur un système infecté. Les wiper sont dans une certaine mesure plus destructrice que les ransomware, car ils rendent définitivement les inaccessibles les données, contrairement aux ransomwares qui vont les rendre inaccessibles juste le temps du paiement de la rançon. Leur puissance et les effets dévastateurs peuvent aller jusqu’à supprimer carrément le système d’exploitation rendant tous les systèmes indisponibles.
Les wiper sont des menaces persistantes avancées (APT), car ils sont capables de rester dans un état de veille bien qu’ayant infecté un système pendant de nombreuses années et être activés au moment décidé par le pirate.
UNE FAMILLE DE MALWARE DÉJÀ BIEN CONNUE
Les spécialistes de la cybersécurité ont déjà enregistré deux variations de logiciels malveillants de la même famille.
- HermeticWiper
De nombreuses organisations ukrainiennes ont été frappées le 23 février par un Wiper spécial dénommé HermeticWiper. C’est un logiciel malveillant qui efface toutes les données du disque touché d’un périphérique infecté et est capable de s’auto effacer du disque et du système infecté, afin d’empêcher l’analyse post-incident (inforensique). Par ailleurs, le malware se propage à l’intérieur des réseaux locaux compromis par un ver personnalisé nommé HermeticWizard qui est partie intégrante du pack malveillant. HermeticRansom est la composante rançongiciel du pack HermeticWiper et agit comme un « leurre ransomware » pour détourner l’attention du malware principal.
Le terme « Hermetic » est dérivé de Hermetica Digital Ltd. Il s’agit d’une société chypriote à laquelle le certificat de signature de code a été délivré. On estime que les attaquants ont probablement usurpé l’identité de la société pour obtenir le certificat.
- IsaacWiper
Le 24 février, une deuxième vague d’attaque au Wiper a été conduite par un autre malware dénommé IsaacWiper. Ce dernier a été repéré sous la forme d’une DLL Windows ou d’un EXE sans signature Authenticode. Le plus ancien horodatage de compilation PE découvert par ESET est le 19 octobre 2021, ce qui laisse croire que le malware pourrait avoir été utilisé dans des opérations précédentes des mois plus tôt sans être détecté.
DES ATTAQUES CIBLÉES ?
Les victimes connues de cette famille de malware sont majoritairement des organisations financières et des institutions gouvernementales, depuis le déclenchement du conflit Russie-Ukraine. Mais il n’est pas exclu que ces menaces ciblent les particuliers à mesure que le conflit s’intensifie.
Par ailleurs, il raisonnable de croire que de nouvelles variantes de ce nouveau type de malware devraient être découvertes dans les mois à venir.
