2023-04-20 18:56:51
Les logiciels malveillants de classe Wiper constituent la nouvelle menace sérieuse pour la cybersécurité des entreprises et des administrations du monde entier. Conçus pour effacer les données des systèmes informatiques infectés causant des dommages irréparables aux activités des entreprises et des institutions publiques, ces outils de cyberattaques sont au centre du nouveau rapport Swascan (Tinexta Group) qui vient d’être publié sous le patronage d’Assintel et d’Ecso – European Cyber Security Organisation.
Du dévastateur NotPetya, utilisé depuis 2017 ciblant des organisations de différents secteurs dans plus de 65 pays avec des dommages de plus de 10 milliards de dollars dans le monde, aux plus récents et meurtriers AcidRain, WhisperKill et IsaacWiper, développés et utilisés pendant le conflit russo-ukrainien pour mettre hors d’usage l’infrastructure numérique de Kiev, ce sont une quinzaine de wipers examinés dans cette analyse technique détaillée, qui révèle les dangers de ces outils de véritable cyberguerre à travers l’examen ponctuel et précis de leur fonctionnement.
« L’ancêtre de ce que nous connaissons aujourd’hui sous le nom d’essuie-glace aurait été utilisé en 2012 dans une série d’attaques contre des entreprises iraniennes. Mais le premier véritable malware doté d’une capacité d’effacement a été Shamoon, actif entre 2012 et 2016. L’une des attaques les plus répandues remonte cependant à juin 2017 avec la fameuse vague d’infections NotPetya ». Mais l’augmentation décisive de ces attaques meurtrières s’est produite avec le conflit russo-ukrainien. « Plusieurs organisations et infrastructures critiques en Ukraine – indique le rapport – ont été touchées par cette vague de NotPetya, y compris les systèmes de surveillance des rayonnements de la centrale nucléaire de Tchernobyl. En particulier, le 24 février 2022, le virus d’essuie-glace appelé AcidRain a été utilisé dans une cyberattaque contre le service Internet par satellite de Viasat, qui a touché plusieurs pays, dont l’Italie.
“SwiftSlicer, découvert par les chercheurs de Fortinet le 25 janvier 2023 – l’analyse de Swascan se poursuit – a été utilisé pour mener une cyberattaque sur l’infrastructure ukrainienne. Ce virus ne vise pas la rançon ou la monétisation, seulement la destruction des données et le sabotage des systèmes informatiques. La veille de l’invasion de l’Ukraine par les forces russes, le 24 février 2022, un nouvel essuie-glace lancé contre un certain nombre d’entités ukrainiennes, connu sous le nom de “HermeticWiper”, a été découvert, basé sur un certificat numérique volé à une société appelée Hermetica Digital Ltd ».
Le rapport présente dans un tableau récapitulatif efficace les détails des 13 essuie-glaces les plus connus actuellement utilisés : Shamoon, le premier à avoir été utilisé en 2012 pour attaquer les compagnies pétrolières Saudi Aramaco et RasGas ; Dark Seoul en Corée du Nord, qui a rendu quelque 30 000 ordinateurs inutilisables dans les secteurs des médias et des services financiers sud-coréens ; le NotPetya russe susmentionné ; le destroyer olympique nord-coréen, visant à perturber les cyberservices des Jeux olympiques d’hiver de 2018 en Corée du Sud ; Ordinypt/GermanWIper, qui ciblait les organisations allemandes en 2019 ; l’Iranian Dustman, qui a attaqué la compagnie pétrolière nationale de Bahreïn en 2019 ; ZeroCleare, qui ciblait les sociétés énergétiques du Moyen-Orient en 2020 ; les russes WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero et AcidRain qui, en différentes phases en 2022, ont affecté les institutions et entreprises ukrainiennes.
L’enquête identifie trois principaux “cas d’utilisation” pour l’utilisation des essuie-glaces : l’espionnage, le sabotage et le détournement. Le mode espionnage consiste à utiliser des essuie-glaces pour voler des informations sensibles ou secrètes à partir d’un système informatique infecté. Dans ce cas, les attaquants utilisent le logiciel malveillant pour éliminer les traces de leur accès aux systèmes de l’organisation, empêchant les enquêteurs de découvrir comment l’attaque a été menée et quelles données ont été volées. Son utilisation pour des attaques sous fausse bannière n’est pas non plus à exclure. Dans ce cas, un acteur pourrait utiliser un effaceur de logiciels malveillants pour mener une attaque et prétendre qu’elle a été perpétrée par un autre acteur.
Le mode sabotage consiste à utiliser des essuie-glaces pour détruire ou endommager l’infrastructure informatique d’un pays ou d’une organisation. Dans ce cas, les attaquants utilisent le logiciel malveillant pour effacer ou endommager des données ou une infrastructure informatique critiques, causant de graves dommages à l’organisation ou au pays touché. Enfin, le mode diversion implique l’utilisation d’essuie-glaces pour masquer d’autres cyberattaques ou pour tromper les enquêteurs. Dans ce cas, les attaquants utilisent le logiciel malveillant pour éliminer les traces de leurs véritables cibles et de leurs activités, incitant les enquêteurs à suivre de fausses pistes et les empêchant de découvrir la véritable attaque.
“La plupart des logiciels malveillants d’essuie-glace vus au premier semestre 2022 – déclare le PDG de Swascan, Pierguido Iezzi – ont été distribués contre des organisations ukrainiennes. La croissance des logiciels malveillants d’essuie-glace pendant un conflit n’est pas une surprise. Il est difficile à monétiser, donc l’accent est mis sur la destruction, le sabotage et la cyberguerre. Plutôt que d’être utilisé isolément, un essuie-glace est souvent utilisé dans le contexte d’une attaque plus importante. Les essuie-glaces ont pris une portée mondiale et constituent un élément de base dans l’arsenal des groupes APT, signalant un changement dans la façon dont les États opèrent et mènent des cyberopérations.”
“Mais non seulement cela, nous pourrions bientôt voir leur utilisation par des groupes hacktivistes également, en lieu et place du bras armé d’acteurs beaucoup plus “lourds” au niveau international. En fait, l’implication des États dans la promotion ou le soutien ne peut être exclue de Ceux-ci pourraient exploiter les groupes hacktivistes comme un outil de politique étrangère (une nouvelle forme de pouvoir tranchant), en leur fournissant un soutien logistique, financier ou technique pour mener des attaques d’essuyage contre des adversaires ou des cibles d’intérêt stratégique – a conclu Iezzi -Une convergence de scénarios dans lesquels cet outil pourrait potentiellement devenir encore plus destructeur que les armes numériques déjà employées par les acteurs désormais actifs sur la scène géopolitique internationale. Des évolutions possibles qu’il convient de suivre de près afin de pouvoir anticiper d’éventuelles conséquences désastreuses en cas de attaque”.
#Malware #wiper #nouvelle #menace #sérieuse #pour #les #systèmes #informatiques
1682221791
