Un nouveau logiciel malveillant d’effacement de donn\u00e9es a \u00e9t\u00e9 observ\u00e9 d\u00e9ploy\u00e9 contre un r\u00e9seau gouvernemental ukrainien anonyme, un jour apr\u00e8s que des cyberattaques destructrices ont frapp\u00e9 plusieurs entit\u00e9s dans le pays avant le d\u00e9but de l’invasion militaire russe.<\/p>\n
La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET a surnomm\u00e9 le nouveau malware “IsaacWiper<\/a>“, qui, selon elle, a \u00e9t\u00e9 d\u00e9tect\u00e9 le 24 f\u00e9vrier dans une organisation qui n’\u00e9tait pas affect\u00e9e par HermeticWiper (alias FoxBlade), un autre logiciel malveillant d’effacement de donn\u00e9es qui a cibl\u00e9 plusieurs organisations le 23 f\u00e9vrier dans le cadre d’une op\u00e9ration de sabotage visant \u00e0 rendre les machines inutilisables.<\/p>\n Une analyse plus approfondie des attaques HermeticWiper, qui ont infect\u00e9 au moins cinq organisations ukrainiennes, a r\u00e9v\u00e9l\u00e9 un composant de ver qui propage le logiciel malveillant sur le r\u00e9seau compromis et un module de ran\u00e7ongiciel qui agit comme une \u00ab distraction des attaques d’essuie-glace \u00bb, corroborant un pr\u00e9c\u00e9dent rapport de Symantec. .<\/p>\n “Ces attaques destructrices ont exploit\u00e9 au moins trois composants\u00a0: HermeticWiper pour effacer les donn\u00e9es, HermeticWizard pour se propager sur le r\u00e9seau local et HermeticRansom agissant comme un leurre ransomware”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n Dans une analyse s\u00e9par\u00e9e du nouveau ransomware bas\u00e9 sur Golang, la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky, qui a nomm\u00e9 le malware \u00ab Elections GoRansom \u00bb, caract\u00e9ris\u00e9<\/a> comme une op\u00e9ration de derni\u00e8re minute, ajoutant qu’il \u00e9tait “probablement utilis\u00e9 comme \u00e9cran de fum\u00e9e pour l’attaque HermeticWiper en raison de son style non sophistiqu\u00e9 et de sa mauvaise impl\u00e9mentation”. <\/p>\n En tant que mesure anti-l\u00e9gale, HermeticWiper est \u00e9galement con\u00e7u pour entraver l’analyse en s’effa\u00e7ant du disque en \u00e9crasant son propre fichier avec des octets al\u00e9atoires.<\/p>\n ESET a d\u00e9clar\u00e9 n’avoir trouv\u00e9 “aucun lien tangible” pour attribuer ces attaques \u00e0 un acteur mena\u00e7ant connu, les artefacts de logiciels malveillants laissant entendre que les intrusions \u00e9taient planifi\u00e9es depuis plusieurs mois, sans parler du fait que les entit\u00e9s cibl\u00e9es ont subi des compromis bien \u00e0 l’avance. au d\u00e9ploiement de l’essuie-glace.<\/p>\n \u00ab Ceci est bas\u00e9 sur plusieurs faits : les horodatages de compilation HermeticWiper PE, le plus ancien \u00e9tant le 28 d\u00e9cembre 2021 ; la date d’\u00e9mission du certificat de signature de code du 13 avril 2021 ; et le d\u00e9ploiement d’HermeticWiper via la politique de domaine par d\u00e9faut dans au moins une instance , sugg\u00e9rant que les attaquants avaient pr\u00e9alablement acc\u00e8s \u00e0 l’un des serveurs Active Directory de cette victime \u00bb, a d\u00e9clar\u00e9 Jean-Ian Boutin, responsable de la recherche sur les menaces chez ESET.<\/p>\n Les vecteurs d’acc\u00e8s initiaux utilis\u00e9s pour d\u00e9ployer les deux essuie-glaces sont \u00e9galement inconnus, bien que l’on soup\u00e7onne que les attaquants ont utilis\u00e9 des outils tels que Impaquet<\/a> et RemCom, un logiciel d’acc\u00e8s \u00e0 distance, pour les mouvements lat\u00e9raux et la distribution de logiciels malveillants.<\/p>\n De plus, IsaacWiper ne partage aucun chevauchement au niveau du code avec HermeticWiper et est nettement moins sophistiqu\u00e9, m\u00eame s’il entreprend d’\u00e9num\u00e9rer tous les lecteurs physiques et logiques avant de proc\u00e9der \u00e0 ses op\u00e9rations d’effacement de fichiers.<\/p>\n “Le 25 f\u00e9vrier 2022, des attaquants ont abandonn\u00e9 une nouvelle version d’IsaacWiper avec des journaux de d\u00e9bogage”, ont d\u00e9clar\u00e9 les chercheurs. “Cela peut indiquer que les attaquants n’ont pas pu effacer certaines des machines cibl\u00e9es et ont ajout\u00e9 des messages de journal pour comprendre ce qui se passait.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Le-celebre-gang-de-logiciels-malveillants-TrickBot-ferme-son-infrastructure.png\")
<\/a><\/div>\n![\"Logiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646161005_947_Le-deuxieme-nouvel-essuie-glace-de-donnees-IsaacWiper-cible-lUkraine-apres.jpeg\" "\\"Logiciel")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n