Cyberattaque : l’Ukraine ciblée par un malware destructeur de données
À l'heure actuelle, la situation est très difficile en Ukraine, et au-delà de la guerre sur le terrain, ce pays est également la cible de nombreuses cyberattaques. Un malware s'en prend aux machines afin de détruire les données.
L'Ukraine est touchée par de nombreuses cyberattaques, notamment des attaques DDoS contre des banques et des agences gouvernementales, mais aussi des attaques avec un logiciel malveillant qui a un seul objectif : détruire les données des machines infectées.
De nombreuses machines sont victimes de ce que l'on appelle un "data wiper", c'est-à-dire un logiciel malveillant qui a pour objectif de corrompre les données afin de les rendre inutilisables. Contrairement à un ransomware où les données sont récupérables si l'on paie la rançon, là c'est de la destruction de données pure et simple.
Symantec et ESET ont fait la découverte de ce data wiper, et sur VirusTotal, cette souche malveillante "Win32/KillDisk.NCV" est détectée seulement par 28 des 71 moteurs de détection de la liste. Disons que les principaux antivirus sont capables de le détecter : ESET, BitDefender, Avast, Kaspersky, Fortinet, McAfee, Webroot, etc.
D'après Symantec, ces cyberattaques ciblent des centaines de machines associées à des organismes financiers et des entreprises qui travaillent pour le gouvernement Ukrainien. En complément, la Lituanie et la Lettonie sont également ciblées.
De son côté, ESET remarque que le malware a été compilé le 28 décembre 2021 : une preuve que ces attaques étaient planifiées depuis un bon moment. Le malware s'appuie sur des pilotes associés à l'éditeur EASUS, ce dernier propose des logiciels pour la sauvegarde des données, mais aussi le partitionnement des disques. Le data wiper s'appuie sur ces pilotes EASEUS pour corrompre les données avant de redémarrer la machine.
Toujours d'après ESET, dans le cadre de l'une de ces attaques, le logiciel malveillant a été déployé sur les machines directement à partir d'un contrôleur de domaine. On imagine les conséquences désastreuses sur les machines associées à ce domaine Active Directory. Là encore, cela signifie que les attaquants avaient accès à l'infrastructure depuis un moment.
En janvier dernier, l'Ukraine était déjà la cible d'un data wiper nommé "WhisperGate". Cette fois-ci, cela est coordonné avec l'offensive Russe sur le terrain, même si ce n'est pas précisé si ce sont les Russes qui utilisent ce data wiper (on peut s'en douter !).