De nouveaux logiciels malveillants destructeurs utilisés dans les cyberattaques contre l'Ukraine
Alors que la guerre en Ukraine se poursuit, avec des rapports sur la dernière dévastation dans la capitale Kiev et un couvre-feu imposé par le maire local, la bataille fait également rage dans le cyberespace. Des chercheurs en sécurité ont rapporté hier qu'une nouvelle souche de logiciels malveillants destructeurs avait été repérée dans plusieurs réseaux ukrainiens.
Le nouveau malware fonctionne comme un essuie-glace, n'essayant pas d'exfiltrer les données ou de les chiffrer comme le font les ransomwares. Au lieu de cela, les outils d'effacement menaçants suppriment simplement tout ce qu'ils peuvent et nettoient l'espace pour empêcher la récupération des données.
CaddyWiper supprime les fichiers, les partitions
L'outil nouvellement découvert a été surnommé CaddyWiper et détaillé dans un message Twitter par des chercheurs de logiciels malveillants. Il s'agit du troisième essuie-glace menaçant découvert dans la nature en Ukraine depuis le début du conflit militaire dans le pays. Curieusement, il s'est avéré que la charge utile du CaddyWiper était toute nouvelle et compilée le jour même où elle a été utilisée pour attaquer des systèmes en Ukraine.
Un autre détail intéressant sur le logiciel malveillant récemment lancé est que, même s'il détruit les données et supprime les partitions, il n'interfère pas avec les contrôleurs de domaine. Les contrôleurs de domaine sont les parties d'un réseau chargées de gérer les demandes d'authentification et d'accéder aux ressources du domaine sur un réseau donné. Cela pourrait impliquer que l'outil est destiné à donner à ses opérateurs un accès étendu aux systèmes compromis, ainsi que la tâche principale d'effacer les données.
CaddyWiper se propage aux réseaux précédemment compromis
L'outil abusé pour diffuser CaddyWiper s'est avéré être des objets de stratégie de groupe Microsoft ou des GPO. Cependant, dans au moins une instance d'un réseau compromis, son GPO par défaut a été utilisé pour propager le logiciel malveillant. Ceci, en soi, suggère que quel que soit le tiers qui exploite CaddyWiper, il a déjà obtenu un accès non autorisé aux services Active Directory du réseau.
Les deux précédents outils menaçants utilisés ces dernières semaines dans des cyberattaques contre des cibles ukrainiennes s'appelaient HermeticWiper et IsaacWiper. Les deux outils avaient des capacités destructrices mais ne partageaient pas de similitudes significatives avec le dernier CaddyWiper en matière de code.
Parallèlement aux informations faisant état de l'utilisation de l'outil CaddyWiper en Ukraine, une autre cyberattaque a fait la une des journaux, cette fois dirigée contre la compagnie pétrolière russe Rosneft. Une filiale allemande de Rosneft aurait été attaquée par le collectif hacktiviste international connu sous le nom d'Anonymous. Les rapports indiquent que 20 To de données ont été exfiltrées lors de l'attaque. Les autorités allemandes enquêtent sur l'attaque. Les installations de Rosneft Deutschland n'ont pas été affectées.