Connect with us

Technologie

Plus d’informations émergent sur le malware WhisperGate qui a frappé l’Ukraine

Published

on


Le malware WhisperGate utilisé dans de multiples cyberattaques contre des cibles du gouvernement ukrainien – prétendument par des acteurs malveillants liés ou soutenus par le gouvernement russe – fait toujours l’objet d’une analyse continue par des chercheurs en sécurité alors que la crise internationale en Ukraine s’aggrave.

WhisperGate est un ver ressemblant à un essuie-glace avec certaines similitudes avec NotPetya; comme indiqué précédemment, il « se fait passer » pour un ransomware, mais plutôt que de chiffrer les données, il cible un enregistrement de démarrage principal du système pour la destruction.

Calvin Gan, directeur principal de la défense tactique chez F-Secure, a déclaré que la tactique consistant à déguiser les logiciels malveillants d’essuie-glace en ransomware n’était pas nouvelle et était bien favorisée par les acteurs liés aux gouvernements nationaux.

« WhisperGate ou DEV-0586 comme Microsoft l’appelle, il a une ressemblance similaire à NotPetya découvert en 2017 qui est également un malware d’essuie-glace déguisé en ransomware », a déclaré Gan.

« NotPetya à cette époque a paralysé de nombreuses entreprises en Ukraine, en France, en Russie, en Espagne et aux États-Unis. Ensuite, il y a aussi le groupe Agrius suivi par des chercheurs de SentinelOne qui a récemment également utilisé des logiciels malveillants d’essuie-glace sur leurs organisations cibles au Moyen-Orient.

« Avec l’utilisation de logiciels malveillants d’essuie-glace, il est clair que les attaquants ne recherchent pas un gain financier, mais sont plus motivés à paralyser les opérations cibles. Remplacement de l’enregistrement de démarrage principal [MBR] rendrait la machine non amorçable, rendant ainsi la récupération impossible, en particulier lorsque le logiciel malveillant écrase également le contenu du fichier avant d’écraser le MBR », a-t-il déclaré.

Les chercheurs de Cisco Talos, quant à eux, ont partagé des détails sur la chaîne d’attaque de WhisperGate. Il a évalué il y a quelques jours (à un degré de confiance moyen) que les attaquants derrière elle étaient en possession d’informations d’identification volées et avaient accès à leurs cibles depuis un certain temps. Comme l’équipe de Talos l’a noté, il s’agit d’une tactique courante des groupes de menaces persistantes avancées (APT), ce qui donne du crédit à la spéculation selon laquelle les attaques ont été soutenues par Moscou.

Dans une infection WhisperGate, la victime reçoit d’abord une charge utile qui tente d’effacer le MBR et de le remplacer par la « note de rançon », tout en essayant de détruire le C: en l’écrasant avec des données fixes – quelque chose qui le différencie de NotPetya.

La deuxième étape, a déclaré Talos, est un téléchargeur qui récupère la troisième étape, un fichier de bibliothèque de liens dynamiques (DLL), à partir d’une URL de serveur Discord codée en dur dans le téléchargeur. Cette DLL, codée en C #, supprime une charge utile d’essuie-glace de quatrième étape qui supprime toutes les données sur le point de terminaison – les chercheurs de Talos ont déclaré qu’il s’agissait « probablement d’un plan d’urgence » si la première étape ne fonctionnait pas correctement.

Rafe Pilling, chercheur principal en sécurité à l’unité de lutte contre les menaces de Secureworks, a déclaré: « Pour être clair, WhisperGate est un malware destructeur, pas un ransomware. Personne ne récupérera ses données. Bien qu’il soit peu probable que des organisations situées en dehors de l’Ukraine soient directement ciblées, les clients doivent tenir compte de leur exposition aux dommages collatéraux par l’intermédiaire de fournisseurs de services ou de partenaires commerciaux en Ukraine.

« Les entreprises doivent être très vigilantes et maintenir les sauvegardes à jour des systèmes et des données critiques de l’entreprise, exercer des processus de restauration avant qu’ils ne soient nécessaires et s’assurer que les sauvegardes ne peuvent pas être affectées par des attaques de type rançongiciel ou des logiciels malveillants d’essuie-glace. »

Les meilleures pratiques pour se prémunir contre une attaque de type WhisperGate reflètent les meilleures pratiques pour repousser les gangs de ransomware traditionnels – pour maintenir des sauvegardes complètes, régulièrement mises à jour, testées et protégées; élaborer des plans de continuité des activités; segmenter les réseaux et limiter l’accès aux actifs à haut risque; maintenir tous les systèmes et logiciels corrigés et à jour; et de mettre en œuvre la détection et la réponse des points de terminaison (EDR) et d’enquêter sur toutes les alertes.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance