Lors de nouvelles attaques contre l'industrie ukrainienne de l'énergie, ESET a pu identifier une nouvelle variante du malware Industroyer : Industroyer 2. Les chercheurs d'ESET soupçonnent le groupe APT Sandworm d'être à l'origine des dernières attaques avec un niveau de certitude élevé.
Des sous-stations en Ukraine sont attaquées. Le but des hackers est de fermer l'infrastructure. Les chercheurs d'ESET ont a travaillé en étroite collaboration avec le CERT ukrainienpour protéger le réseau de l'entreprise. Ici, une nouvelle variante du malware Industroyer a été découverte, que les experts appellent désormais Industroyer2. Industroyer est un malware notoire qui a été utilisé par le groupe APT Sandworm en 2016 pour perturber l'approvisionnement en électricité en Ukraine.
« L'Ukraine est à nouveau au centre des cyberattaques sur ses infrastructures critiques. Cette nouvelle campagne Industroyer fait suite à plusieurs vagues de wipers ciblant différents secteurs en Ukraine », explique Thorsten Urbanski, expert en sécurité chez ESET. "Nous continuerons à surveiller le paysage des menaces pour protéger les organisations contre ces types d'attaques destructrices."
Un arsenal de divers programmes malveillants est utilisé
En plus d'Industroyer2, le groupe Sandworm a utilisé plusieurs familles de logiciels malveillants destructeurs, notamment HermeticWiper, CaddyWiper, ORCSHRED, SOLOSHRED et AWFULSHRED. CaddyWiper a été utilisé pour la première fois à la mi-mars lorsqu'il a été utilisé contre une banque ukrainienne. Une variante de CaddyWiper a été utilisée le 8 avril contre la société énergétique ukrainienne susmentionnée.
Qui est Sandworm ?
Les chercheurs en sécurité d'iSIGHT Partners ont choisi le nom "Sandworm" lorsqu'ils ont découvert des références au roman Dune de Frank Herbert dans les fichiers binaires du malware BlackEnergy en 2014. À l'époque, les chercheurs d'ESET ont présenté leurs conclusions sur plusieurs attaques ciblées de BlackEnergy en Ukraine et en Pologne lors d'une conférence Virus Bulletin.
Il y avait des spéculations selon lesquelles Sandworm était un groupe opérant depuis la Russie. Mais ce n'est qu'en 2020 que le ministère américain de la Justice a spécifiquement identifié Sandworm comme l'unité militaire 74455 de la Direction générale des renseignements (GRU) du renseignement militaire russe. Il s'agit de résider dans un immeuble du quartier moscovite de Chimki, que l'on appelle familièrement "la tour".
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.