Lors de l'invasion russe, un autre programme malveillant, IsaacWiper, est apparu après HermeticWiper. Ils s'adressent directement aux organisations ukrainiennes. De plus, des attaques sont menées avec le malware HermeticWizard pour la distribution sur le réseau local et HermeticRansom comme ransomware leurre.
À la suite de l'invasion russe de l'Ukraine, les chercheurs d'ESET ont découvert de nouvelles familles de logiciels malveillants d'effacement utilisés dans des cyberattaques ciblées contre des organisations ukrainiennes. La première cyberattaque a commencé quelques heures avant l'invasion russe avec des attaques DDoS massives contre les principaux sites Web ukrainiens. Certains des nouveaux types de logiciels malveillants ont également été utilisés au cours de ces attaques : HermeticWiper pour la suppression de données, HermeticWizard pour la distribution sur le réseau local et HermeticRansom comme ransomware leurre.
Les attaques DDoS et HermeticWiper ne sont que le début
Avec le début de l'invasion russe, une deuxième attaque a commencé contre un réseau du gouvernement ukrainien, utilisant également un essuie-glace. Les chercheurs d'ESET l'ont nommé IsaacWiper. Les artefacts de logiciels malveillants indiquent que les actions étaient planifiées depuis plusieurs mois. Jusqu'à présent, les experts du fabricant européen de sécurité informatique n'ont pas été en mesure d'attribuer les attaques à un groupe de hackers connu. Il ne peut être exclu que tôt ou tard le logiciel malveillant soit également utilisé en dehors de l'Ukraine.
« Nous cherchons actuellement à savoir s'il existe une connexion entre IsaacWiper et HermeticWiper. IsaacWiper a été détecté dans une organisation gouvernementale ukrainienne qui n'était pas affectée par HermeticWiper », explique Jean-Ian Boutin, responsable de la recherche sur les menaces chez ESET.
Attaques planifiées longtemps à l'avance
Les chercheurs d'ESET supposent que les organisations concernées ont été compromises bien avant l'utilisation de l'essuie-glace. « Cette évaluation est basée sur plusieurs faits : les horodatages de compilation HermeticWiper, dont le plus ancien est le 28 décembre 2021 ; la date d'émission du Code Signing Certificate du 13 avril 2021 ; et le déploiement d'HermeticWiper via la politique de domaine par défaut dans au moins un cas. Cela indique que les attaquants avaient auparavant accès à l'un des serveurs Active Directory de la victime », a poursuivi Boutin.
IsaacWiper est apparu dans la télémétrie ESET le 24 février. L'horodatage de compilation le plus ancien trouvé était le 19 octobre 2021, ce qui signifie que si l'horodatage n'a pas été falsifié, IsaacWiper peut avoir été utilisé des mois plus tôt dans des opérations précédentes.
Une autre vague d'attaques avec IsaacWiper
Juste un jour après avoir utilisé IsaacWiper, les attaquants ont publié une nouvelle version avec des journaux de débogage. Cela pourrait indiquer que les attaquants n'ont pas pu supprimer certaines des machines ciblées et ont ajouté des messages de journal pour comprendre ce qui s'est passé. Les chercheurs d'ESET n'ont pas été en mesure de lier ces attaques à un acteur menaçant connu car il n'y a pas de similitudes de code significatives avec d'autres exemples de la collection de logiciels malveillants d'ESET.
HermeticWiper se propage dans les organisations attaquées
Dans le cas d'HermeticWiper, ESET a observé des preuves de déplacement latéral du logiciel malveillant au sein des organisations ciblées et a déterminé que les attaquants avaient probablement pris le contrôle d'un serveur Active Directory. Un ver personnalisé, que les chercheurs d'ESET ont surnommé HermeticWizard, a été utilisé pour faire proliférer l'essuie-glace sur les réseaux compromis. Pour le deuxième essuie-glace - IsaacWiper - les attaquants ont utilisé RemCom, un outil d'accès à distance, et éventuellement Impacket pour se déplacer à l'intérieur du réseau.
En outre, HermeticWiper s'efface du disque en écrasant son propre fichier avec des octets aléatoires. Cette mesure anti-légale est probablement destinée à empêcher l'analyse de l'essuie-glace après un incident. Le rançongiciel leurre HermeticRansom a été déployé en même temps qu'HermeticWiper, peut-être pour obscurcir les actions de l'essuie-glace.
Le terme "Hermetic" est dérivé de Hermetica Digital Ltd. ab, une société chypriote à laquelle le certificat de signature de code a été délivré. Selon un rapport de Reuters, ce certificat ne semble pas avoir été volé à Hermetica Digital. Au contraire, il est plus probable que les attaquants se soient fait passer pour la société chypriote afin d'obtenir ce certificat de DigiCert. ESET Research a demandé à la société émettrice DigiCert de révoquer immédiatement le certificat.
Processus de cyberattaques contre l'Ukraine
- Le 23 février, le malware HermeticWiper (avec HermeticWizard et HermeticRansom) a été déployé contre plusieurs agences et organisations gouvernementales ukrainiennes. Cette cyberattaque survient quelques heures seulement avant le début de l'invasion russe de l'Ukraine.
- HermeticWiper s'efface du disque en écrasant son propre fichier. Cette procédure est destinée à rendre plus difficile l'analyse de l'incident.
- HermeticWiper est distribué sur des réseaux locaux compromis par un ver personnalisé que nous avons nommé HermeticWizard.
- Le 24 février, une deuxième vague d'attaques a commencé à cibler un réseau du gouvernement ukrainien, utilisant également un essuie-glace qu'ESET appelle IsaacWiper.
- Le 25 février, les attaquants ont publié une nouvelle version d'IsaacWiper avec des journaux de débogage indiquant qu'ils n'étaient pas en mesure d'effacer certains des ordinateurs ciblés.
- Les résultats de l'analyse indiquent que les attentats étaient planifiés depuis plusieurs mois.
- Les experts en sécurité d'ESET n'ont pas encore été en mesure d'attribuer ces attaques à un groupe de pirates.
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.