16/12/2024

Actu Cybersécurité

SwiftSlicer, un malware qui veut détruire votre Active Directory

Les chercheurs en sécurité de chez ESET ont découvert un nouveau malware destructeur de données, surnommé SwiftSlicer, qui a un objectif bien précis : détruire votre domaine Active Directory !

Derrière SwiftSlicer, se cache le groupe de pirates russes Sandworm, et ce malware a été découvert par les chercheurs en sécurité d'ESET à la suite d'une cyberattaque contre une entité basée en Ukraine. Dernièrement, le groupe Sandworm s'en est pris à plusieurs reprises à l'Ukraine, notamment avec le destructeur CaddyWiper. Même s'il est question de Windows dans le cas présent, le groupe Sandworm utilise également des malwares "compatibles" Linux.

Codé en Go, qui est un langage très apprécié par les cybercriminels, le malware SwiftSlicer veut clairement détruire les domaines Active Directory car il s'en prend directement au répertoire "%CSIDL_SYSTEM_DRIVE%\Windows\NTDS" qui contient la base d'annuaire Active Diretory. Cette base d'annuaire Active Directory contient les informations du domaine, ainsi que l'ensemble des objets.

Pour détruire les données, le malware écrase le contenu des fichiers en les remplissant avec des blocs de 4096 octets, générés aléatoirement. L'action de destruction effectuée par SwiftSlicer peut être particulièrement dévastatrice. En effet, en détruisant la base d'annuaire, c'est tout le fonctionnement de l'infrastructure qui peut être perturbé, notamment l'ouverture de session, l'accès à des ressources (partages, applications, imprimantes, etc... Compte tenu de la place importante que prend l'Active Directory dans les organisations où il est déployé.

Pour procéder à la destruction du domaine Active Directory, les pirates doivent bénéficier des droits admins car ils utilisent une stratégie de groupe (GPO) pour exécuter SwiftSlicer sur les machines. Les chercheurs d'ESET ont également constaté que SwiftSlicer détruisait les clichés instantanés ainsi que des pilotes Windows, en plus de la base Active Directory en elle-même.

Une fois encore, cette menace montre à quel point il est important d'avoir un système de sauvegarde fiable et qu'il est indispensable de sauvegarder les contrôleurs de domaine, même s'il y en a plusieurs pour assurer la disponibilité du service Active Directory.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.