En Ukraine, des malwares destructeurs détectés par Microsoft

En Ukraine, des malwares destructeurs détectés par Microsoft

Microsoft a déclaré avoir découvert un logiciel malveillant de type “wiper” utilisé pour corrompre les systèmes de plusieurs organisations en Ukraine. Dans un blog publié samedi, le Microsoft Threat Intelligence Center (MSTIC) a déclaré avoir découvert le malware de type ransomware le 13 janvier.

Cette nouvelle intervient quelques jours après que plus de 70 sites Web du gouvernement ukrainien ont été défigurés par des groupes prétendument associés aux services secrets russes. Mais Microsoft a déclaré qu’elle n’avait “trouvé aucune association notable” entre le logiciel malveillant qu’elle a découvert et les attaques de sites Web qui ont eu lieu la semaine dernière.

publicité

“MSTIC estime que le malware, conçu pour ressembler à un ransomware mais dépourvu de mécanisme de récupération de la rançon, est destiné à être destructeur et vise à rendre les appareils ciblés inopérants plutôt que d’obtenir une rançon”, explique Microsoft.

“À l’heure actuelle et sur la base de la visibilité de Microsoft, nos équipes d’investigation ont identifié le malware sur des dizaines de systèmes impactés et ce nombre pourrait augmenter à mesure que notre enquête se poursuit. Ces systèmes concernent plusieurs organisations gouvernementales, à but non lucratif et informatiques, toutes basées en Ukraine. Nous ne connaissons pas le stade actuel du cycle opérationnel de cet attaquant ni le nombre d’autres organisations victimes qui pourraient exister en Ukraine ou dans d’autres lieux.”

Microsoft a ajouté que l’objectif exact du malware n’est toujours pas clairement identifié, mais a déclaré que toutes les agences gouvernementales ukrainiennes, les organisations à but non lucratif et les entreprises devraient se mefier de ce malware.

L’entreprise a déclaré qu’il s’agissait d’un malware de type Master Boot Records (MBR) Wiper et a qualifié les capacités du malware d'”uniques”.

Le malware s’exécute via Impacket et écrase le Master Boot Record d’un système avec une note de rançon demandant 10 000 dollars en bitcoins. Le Master Boot Record est le nom donné au premier secteur adressable d’un disque dur, qui est exécuté en premier par l’appareil lors de son démarrage. Une fois que l’appareil s’éteint, le logiciel malveillant s’exécute, et Microsoft a déclaré qu’il était “atypique” pour un ransomware cybercriminel d’écraser le MBR.

Même si une demande de rançon est incluse, il s’agit d’une ruse, selon l’analyse de Microsoft. Le malware localise les fichiers dans certains répertoires avec des dizaines d’extensions de fichiers les plus courantes et écrase le contenu avec un nombre fixe d’octets 0xCC. Après avoir écrasé le contenu, le logiciel renomme chaque fichier avec une extension de quatre octets apparemment aléatoire, explique Microsoft.

Microsoft a déclaré que ce type d’attaque est “incompatible avec l’activité des ransomwares cybercriminels” qu’ils ont observée, car généralement, les ransomwares sont personnalisés pour chaque victime.

“Dans ce cas, le même mécanisme a été observé chez plusieurs victimes. Pratiquement tous les ransomwares chiffrent le contenu des fichiers sur le système de fichiers. Dans ce cas, le malware écrase le MBR sans mécanisme de récupération. Les montants des paiements et les adresses des portefeuilles de crypto-monnaies sont rarement spécifiés dans les notes de rançon des criminels modernes, mais ils étaient spécifiés ici”, explique Microsoft.

“La même adresse de portefeuille Bitcoin a été observée dans toutes les intrusions et, au moment de l’analyse, la seule activité était un petit transfert le 14 janvier. Il est rare que la méthode de communication ne soit qu’un Tox ID, un identifiant à utiliser avec le protocole de messagerie chiffrée Tox. En général, il existe des sites Web avec des forums d’assistance ou plusieurs méthodes de contact (y compris l’e-mail) pour faciliter la prise de contact avec la victime. La plupart des notes de rançon criminelles comprennent un identifiant personnalisé que la victime doit envoyer dans ses communications avec les attaquants. Il s’agit d’une partie importante du processus, car l’identifiant personnalisé correspond à une clé de décryptage spécifique à la victime. Dans ce cas, la note de rançon ne contient pas d’identifiant personnalisé.”

Microsoft a ajouté qu’il était en train de créer des détections pour le malware et a fourni une série de recommandations de sécurité pour les organisations qui pourraient avoir été ciblées.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *