Pour certains hackers, la destruction des données numériques est plus importante que le vol ou le chantage. Selon les experts d'ESET, le groupe APT Agrius a mené une série de cyberattaques en utilisant le malware Fantasy wiper.
Pour les grossistes en diamants, le vol, la fraude et les demandes de rançon font partie des menaces commerciales quotidiennes. Cependant, le fait que les cybercriminels ne cherchent qu'à détruire les informations numériques et ne souhaitent pas réaliser de profit financier a surpris les marchands de pierres précieuses concernés en Israël ainsi que les experts en sécurité d'ESET. Ils ont pu prouver que le groupe APT Agrius avait mené une série de cyberattaques utilisant le malware "Fantasy", qui a également touché une société de ressources humaines israélienne et une société informatique. Des victimes ont également été observées en Afrique du Sud et à Hong Kong.
Wiper est sorti pour le déchiquetage de données
Les attaquants, qui sont proches de l'Iran, ont utilisé Fantasy, un soi-disant essuie-glace, qui agit de manière purement destructrice et n'est pas là pour extorquer de l'argent comme un rançongiciel. Mais afin de pouvoir pénétrer dans les réseaux des victimes, Agrius a mené une attaque de la chaîne d'approvisionnement. Une suite logicielle israélienne qui est très courante dans l'industrie du diamant a fait l'objet d'abus.
En février 2022, Agrius a utilisé des outils de collecte d'informations d'identification avec une organisation sud-africaine de l'industrie du diamant. Les experts y voient une préparation pour la campagne ultérieure. Agrius a lancé l'attaque d'extinction proprement dite en mars 2022 en utilisant Fantasy et son outil de distribution "Sandals" d'abord sur la victime en Afrique du Sud, puis sur d'autres en Israël et enfin à Hong Kong.
Fantasy Wiper a effacé tous les fichiers du disque dur ou tous les fichiers avec l'une des 682 extensions prédéfinies, y compris les extensions de nom de fichier pour les applications Microsoft 365 (telles que Microsoft Word, Microsoft PowerPoint et Microsoft Excel) ainsi que pour les fichiers vidéo, audio et formats de fichiers d'images. Même si le logiciel malveillant a pris des mesures pour rendre la récupération et l'analyse médico-légale plus difficiles, il est fort probable que la récupération du lecteur du système d'exploitation Windows ait été possible. On a observé que les victimes étaient de retour et qu'elles couraient en quelques heures.
Le groupe APT, affilié à l'Iran, Agrius se concentre sur Israël
Agrius est un nouveau groupe affilié à l'Iran qui attaque des cibles en Israël et aux Émirats arabes unis depuis 2020. Le groupe a initialement déployé l'essuie-glace "Apostle" déguisé en prétendu rançongiciel. En fait, il a ensuite évolué vers un rançongiciel à part entière. Le groupe APT exploite les vulnérabilités connues des applications Web pour installer des shells Web. Elle effectue ensuite une reconnaissance interne avant que l'essuie-glace ne se propage et utilise ses capacités malveillantes.
Depuis sa découverte en 2021, Agrius s'est concentré uniquement sur des opérations destructrices. Fantasy est similaire au précédent Wiper Apostle à bien des égards. Il n'y a que quelques petits changements entre de nombreuses fonctionnalités originales dans l'implémentation d'Apostle and Fantasy.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.