Un nouveau logiciel malveillant d’effacement de données a été observé déployé contre un réseau gouvernemental ukrainien anonyme, un jour après que des cyberattaques destructrices ont frappé plusieurs entités dans le pays avant le début de l’invasion militaire russe.
La société slovaque de cybersécurité ESET a surnommé le nouveau malware “IsaacWiper“, qui, selon elle, a été détecté le 24 février dans une organisation qui n’était pas affectée par HermeticWiper (alias FoxBlade), un autre logiciel malveillant d’effacement de données qui a ciblé plusieurs organisations le 23 février dans le cadre d’une opération de sabotage visant à rendre les machines inutilisables.
Une analyse plus approfondie des attaques HermeticWiper, qui ont infecté au moins cinq organisations ukrainiennes, a révélé un composant de ver qui propage le logiciel malveillant sur le réseau compromis et un module de rançongiciel qui agit comme une « distraction des attaques d’essuie-glace », corroborant un précédent rapport de Symantec. .
“Ces attaques destructrices ont exploité au moins trois composants : HermeticWiper pour effacer les données, HermeticWizard pour se propager sur le réseau local et HermeticRansom agissant comme un leurre ransomware”, a déclaré la société.
Dans une analyse séparée du nouveau ransomware basé sur Golang, la société russe de cybersécurité Kaspersky, qui a nommé le malware « Elections GoRansom », caractérisé comme une opération de dernière minute, ajoutant qu’il était “probablement utilisé comme écran de fumée pour l’attaque HermeticWiper en raison de son style non sophistiqué et de sa mauvaise implémentation”.
En tant que mesure anti-légale, HermeticWiper est également conçu pour entraver l’analyse en s’effaçant du disque en écrasant son propre fichier avec des octets aléatoires.
ESET a déclaré n’avoir trouvé “aucun lien tangible” pour attribuer ces attaques à un acteur menaçant connu, les artefacts de logiciels malveillants laissant entendre que les intrusions étaient planifiées depuis plusieurs mois, sans parler du fait que les entités ciblées ont subi des compromis bien à l’avance. au déploiement de l’essuie-glace.
« Ceci est basé sur plusieurs faits : les horodatages de compilation HermeticWiper PE, le plus ancien étant le 28 décembre 2021 ; la date d’émission du certificat de signature de code du 13 avril 2021 ; et le déploiement d’HermeticWiper via la politique de domaine par défaut dans au moins une instance , suggérant que les attaquants avaient préalablement accès à l’un des serveurs Active Directory de cette victime », a déclaré Jean-Ian Boutin, responsable de la recherche sur les menaces chez ESET.
Les vecteurs d’accès initiaux utilisés pour déployer les deux essuie-glaces sont également inconnus, bien que l’on soupçonne que les attaquants ont utilisé des outils tels que Impaquet et RemCom, un logiciel d’accès à distance, pour les mouvements latéraux et la distribution de logiciels malveillants.
De plus, IsaacWiper ne partage aucun chevauchement au niveau du code avec HermeticWiper et est nettement moins sophistiqué, même s’il entreprend d’énumérer tous les lecteurs physiques et logiques avant de procéder à ses opérations d’effacement de fichiers.
“Le 25 février 2022, des attaquants ont abandonné une nouvelle version d’IsaacWiper avec des journaux de débogage”, ont déclaré les chercheurs. “Cela peut indiquer que les attaquants n’ont pas pu effacer certaines des machines ciblées et ont ajouté des messages de journal pour comprendre ce qui se passait.”