Des chercheurs identifient un nouveau logiciel malveillant d’effacement de données lors d’une cyberattaque contre l’Ukraine

Researchers identify new data-wiping malware in cyberattack against Ukraine

En bref : les chercheurs en sécurité d’ESET ont identifié un type spécifique de logiciel malveillant appelé SwiftSlicer déployé lors d’attaques récentes contre des cibles ukrainiennes. SwiftSlicer cible les fichiers critiques du système d’exploitation Windows et les bases de données Active Directory (AD). D’après les conclusions de l’équipe, le logiciel malveillant peut détruire les ressources du système d’exploitation et paralyser des domaines Windows entiers.

Les chercheurs ont identifié le malware SwiftSlicer déployé lors d’une cyberattaque ciblant les points de vente technologiques ukrainiens. Le logiciel malveillant a été écrit à l’aide d’un langage multiplateforme appelé Golang, mieux connu sous le nom de Go, et utilise un vecteur d’attaque de stratégie de groupe Active Directory (AD).

L’annonce note que le logiciel malveillant identifié comme WinGo/Killfiles.C. Lors de l’exécution, SwiftSlicer supprime les clichés instantanés et écrase de manière récursive les fichiers, puis redémarre l’ordinateur. Il écrase les données en utilisant des blocs de 4 096 octets composés d’octets générés de manière aléatoire. Les fichiers écrasés se trouvent généralement dans %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS et plusieurs autres lecteurs non système.

Les analystes ont attribué le logiciel malveillant de type essuie-glace au groupe de piratage Sandworm, qui sert la Direction principale du renseignement de l’état-major russe (GRU) et le Centre principal des technologies spéciales (GTsST). La dernière attaque rappelle les récentes épidémies HermeticWiper et CaddyWiper déployées lors de l’invasion russe.

Les chercheurs ont noté que les pirates ont infecté les cibles dans les trois attaques d’essuie-glace via le même vecteur basé sur AD. Les similitudes dans les méthodes de déploiement amènent ESET à croire que les acteurs de Sandworm ont peut-être pris le contrôle des environnements Active Directory de leur cible avant de lancer l’attaque.

Des chercheurs identifient un nouveau logiciel malveillant deffacement de donnees

Dire que Sandworm est occupé depuis le conflit ukrainien serait un euphémisme. L’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) a récemment découvert une autre combinaison de plusieurs packages de logiciels malveillants d’effacement de données déployés sur les réseaux de l’agence de presse Ukrinform. Les scripts malveillants ciblaient les systèmes Windows, Linux et FreeBSD et les infectaient avec plusieurs charges utiles malveillantes, notamment CaddyWiper, ZeroWipe, SDelete, AwfulShred et BidSwipe.

Selon le CERT-UA, les attaques n’ont été que partiellement couronnées de succès. L’un des packages de logiciels malveillants répertoriés par Sandworm, CaddyWiper, a également été découvert lors d’une attaque ratée qui visait l’un des plus grands fournisseurs d’énergie d’Ukraine en avril 2022. Les chercheurs d’ESET ont aidé lors de cette attaque en travaillant avec CERT-UA pour corriger et protéger le réseau.