Des chercheurs en sécurité ont détecté mercredi de nouveaux logiciels malveillants destructeurs se propageant en Ukraine, à la suite de preuves de perturbations par déni de service distribué pour les agences gouvernementales – qui se sont toutes deux chevauchées avec les débuts d’une invasion russe.

ESET a déclaré que le logiciel malveillant d’effacement des données qu’il a surnommé « HermeticWiper » était « installé sur des centaines de machines dans le pays », et il y avait des signes que les attaquants se préparaient depuis près de deux mois.

Silas Cutler, rétro-ingénieur principal et hacker résident chez Stairwell, a déclaré que l’essuie-glace endommage le master boot record d’un système, qui indique à une machine comment démarrer. C’est similaire au malware connu sous le nom de WhisperGate qui a été utilisé lors d’une attaque en janvier en Ukraine.

Symantec de Broadcom Software a également observé l’essuie-glace en action, et Vikram Thakur, directeur technique de Symantec Threat Intelligence, a confirmé à CyberScoop qu’il l’avait également vu en Lettonie et en Lituanie. Thakur a déclaré que Symantec avait vu des cibles parmi le secteur financier et les entrepreneurs gouvernementaux.

Juan-Andres Guerrero-Saade, chercheur principal sur les menaces chez SentinelOne, a déclaré que l’essuie-glace semblait être plus dangereux que le logiciel malveillant découvert en janvier. « Ils utilisent plusieurs méthodes redondantes pour détruire les systèmes », a-t-il écrit à CyberScoop. « Beaucoup plus concerté que WhisperGate ou n’importe lequel des essuie-glaces que nous avons vus récemment. »

Mercredi, aucun des chercheurs n’a nommé de victimes ou de cibles spécifiques, ni attribué qui était derrière le malware.

« Nous ne pouvons pas commenter spécifiquement les cibles pour protéger les victimes, mais ce sont de grandes organisations qui ont été touchées », a déclaré Jean-Ian Boutin, responsable de la recherche sur les menaces chez ESET, basé en Slovaquie, dans un e-mail à CyberScoop. « Nous ne pouvons pas non plus donner d’attribution sur la base des informations dont nous disposons, mais l’attaque semble être liée à la crise en cours en Ukraine. Nous supposons que le logiciel malveillant a réussi à effacer sa capacité et que les machines affectées ont été effacées. »

La découverte de l’essuie-glace a ajouté à une journée chaotique de conflit en Ukraine. Il a également poursuivi un cycle d’attaques contre l’infrastructure numérique du pays, y compris des perturbations DDoS des sites Web bancaires et gouvernementaux. Le premier essuie-glace que les chercheurs ont trouvé dans les systèmes gouvernementaux ukrainiens en janvier, WhisperGate, présentait également des similitudes avec le malware NotPetya qui a causé des milliards de dégâts dans le monde.

L’attachée de presse de la Maison Blanche, Jen Psaki, a déclaré mercredi que les États-Unis avaient été en contact avec l’Ukraine au sujet des cyber-incidents, le même jour que le Royaume-Uni et les États-Unis ont mis en garde contre le réoutillage du groupe de hackers russe Sandworm. Ukraine Cyberpolice a déclaré que les attaques numériques y avaient pris un rythme soutenu et a directement blâmé la Russie pour certaines des attaques.

« Les attaques DDOS se poursuivent sans interruption depuis le 15 février », a déclaré l’organisation dans un communiqué. « Dans le même temps, les attaques de phishing contre les autorités publiques et les infrastructures critiques, la propagation de logiciels malveillants et les tentatives de pénétration des réseaux des secteurs privé et public se sont intensifiées. »

La police a poursuivi: « Les attaquants utilisent des botnets pour le phishing et les attaques DDOS, que les services de renseignement ukrainiens identifient comme liés à des groupes de pirates informatiques soutenus par le gouvernement russe. »

Ces attaques sont accompagnées de rapports faisant état de messages texte menaçants adressés aux soldats ukrainiens, ajoutant des dimensions supplémentaires aux hostilités sur plusieurs fronts.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *