Un nouveau malware d’effacement de données appelé CryWiper a été découvert ciblant les agences gouvernementales russes, y compris les bureaux du maire et les tribunaux.
« Bien qu’il se déguise en ransomware et extorque de l’argent à la victime pour » décrypter « les données, [il] ne chiffre pas réellement, mais détruit délibérément les données dans le système affecté », ont déclaré Fedor Sinitsyn et Janis Zinchenko, chercheurs de Kaspersky. en haut.
Des détails supplémentaires sur les attaques ont été partagés par la publication d’information en langue russe Izvestia. Les intrusions n’ont pas été attribuées à un groupe adverse spécifique jusqu’à présent.
Logiciel malveillant basé sur C++, CryWiper est configuré pour établir la persistance via une tâche planifiée et communiquer avec un serveur de commande et de contrôle (C2) pour lancer l’activité malveillante.
En plus de mettre fin aux processus liés aux bases de données et aux serveurs de messagerie, le logiciel malveillant est équipé de capacités pour supprimer les clichés instantanés de fichiers et modifier le registre Windows pour empêcher les connexions RDP dans une tentative probable d’entraver les efforts de réponse aux incidents.
Comme dernière étape, l’essuie-glace corrompt tous les fichiers à l’exception de ceux avec les extensions « .exe », « .dll », « lnk », « .sys » et « .msi », tout en ignorant des répertoires spécifiques, y compris C :\Windows, Boot et tmp, ce qui pourrait autrement rendre la machine inutilisable.
Les fichiers écrasés avec des données inutiles sont ensuite ajoutés avec une extension appelée « .CRY », après quoi une note de rançon est supprimée pour donner l’impression qu’il s’agit d’un programme de ransomware, exhortant la victime à payer 0,5 Bitcoin pour récupérer l’accès.
« L’activité de CryWiper montre une fois de plus que le paiement de la rançon ne garantit pas la récupération des fichiers », ont déclaré les chercheurs, affirmant que le malware « détruit délibérément le contenu des fichiers ».
CryWiper est la deuxième souche de logiciels malveillants d’essuie-glace de représailles visant la Russie après RURansom, un essuie-glace basé sur .NET qui a été trouvé ciblant des entités dans le pays au début du mois de mars.
Le conflit en cours entre la Russie et l’Ukraine a impliqué le déploiement de plusieurs essuie-glaces, ce dernier étant touché par un large éventail de logiciels malveillants tels que WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2 et DoubleZero.
« Les essuie-glaces peuvent être efficaces quelles que soient les compétences techniques de l’attaquant, car même le plus simple des essuie-glaces peut faire des ravages sur les systèmes affectés », a déclaré Max Kersten, chercheur chez Trellix, dans une analyse des logiciels malveillants destructeurs le mois dernier.
« Le temps nécessaire pour créer un tel logiciel malveillant est faible, en particulier par rapport aux portes dérobées d’espionnage complexes et aux vulnérabilités souvent associées qui sont utilisées. Le retour sur investissement n’a pas besoin d’être élevé dans ces cas, bien qu’il soit peu probable que quelques-uns les essuie-glaces doivent faire autant de ravages en eux-mêmes. »