High-Tech News

Microsoft met en garde contre un effaceur de disque destructeur ciblant l’Ukraine


Microsoft met en garde contre un effaceur de disque destructeur ciblant l'Ukraine

Getty Images

Au cours des derniers mois, les tensions géopolitiques se sont intensifiées alors que la Russie rassemblait des dizaines de milliers de soldats le long de la frontière ukrainienne et des menaces subtiles mais de grande portée si l’Ukraine et l’OTAN n’acceptent pas les exigences du Kremlin.

Aujourd’hui, un différend similaire se déroule dans les cyber-arènes, alors que des pirates informatiques inconnus ont dégradé la semaine dernière des dizaines de sites Web du gouvernement ukrainien et laissé un avertissement crypté aux citoyens ukrainiens qui ont tenté de recevoir des services.

Avoir peur et s’attendre au pire

« Toutes les données de l’ordinateur sont en train d’être détruites, il est impossible de les récupérer », indique un message écrit en ukrainien, russe et polonais, apparu à la fin de la semaine dernière sur au moins certains des systèmes infectés. « Toutes les informations vous concernant sont devenues publiques, ayez peur et attendez-vous au pire. »

À peu près à la même époque, Microsoft mentionné dans un article publié ce week-end, des logiciels malveillants « destructeurs » capables de détruire définitivement les ordinateurs et toutes les données qui y sont stockées ont commencé à apparaître sur les réseaux d’une douzaine d’organisations gouvernementales, à but non lucratif et de technologie de l’information, toutes basées en Ukraine. Le malware, que Microsoft appelle Whispergate, se fait passer pour un rançongiciel et exige 10 000 $ en bitcoins pour que les données soient restaurées.

Mais Whispergate n’a pas les moyens de distribuer des clés de déchiffrement et de fournir une assistance technique aux victimes, des caractéristiques que l’on retrouve dans pratiquement tous les ransomwares déployés dans la nature. Il écrase également l’enregistrement de démarrage principal, une partie du disque dur qui démarre le système d’exploitation lors du démarrage.

« Ecraser le MBR est atypique pour les rançongiciels cybercriminels », ont écrit les membres du Microsoft Threat Intelligence Center dans le post de samedi. « En réalité, la note de ransomware est une ruse et le malware détruit le MBR et le contenu des fichiers qu’il cible. Il y a plusieurs raisons pour lesquelles cette activité est incompatible avec l’activité de ransomware cybercriminel observée par MSTIC.

Au cours du week-end, Serhiy Demedyuk, chef adjoint du Conseil ukrainien de la sécurité nationale et de la défense, a déclaré aux médias que les conclusions préliminaires d’une enquête conjointe de plusieurs agences d’État ukrainiennes montrent qu’un groupe d’acteurs menaçants connu sous le nom d’UNC1151 était probablement à l’origine du piratage. Le groupe, que les chercheurs de la société de sécurité Mandiant ont lié au gouvernement de l’allié russe Biélorussie, était à l’origine d’une campagne d’influence nommée Ghostwriter.

Ghostwriter a travaillé en utilisant des e-mails de phishing et des domaines de vol qui usurpent des sites Web légitimes tels que Facebook pour voler les informations d’identification des victimes. Avec le contrôle des systèmes de gestion de contenu appartenant aux sites d’actualités et à d’autres propriétés faisant l’objet d’un trafic intense, l’UNC1151 « a principalement promu des récits anti-OTAN qui semblaient destinés à saper la coopération en matière de sécurité régionale dans les opérations ciblant la Lituanie, la Lettonie et la Pologne », ont écrit les auteurs du rapport Mandiant.

Toutes les preuves pointent vers la Russie

Des responsables ukrainiens ont déclaré que l’UNC1151 travaillait probablement pour le compte de la Russie lorsqu’il a utilisé ses compétences pour collecter des informations d’identification et infiltrer des sites Web pour défigurer les sites du gouvernement ukrainien. Dans un déclaration, ils ont écrit:

À partir de maintenant, nous pouvons dire que toutes les preuves indiquent que la Russie est derrière la cyberattaque. Moscou continue de mener une guerre hybride et construit activement des forces dans l’information et le cyberespace.

Les cyber-troupes russes travaillent souvent contre les États-Unis et l’Ukraine, essayant d’utiliser la technologie pour secouer la situation politique. La dernière cyberattaque est l’une des manifestations de la guerre hybride de la Russie contre l’Ukraine, qui dure depuis 2014.

Son but n’est pas seulement d’intimider la société. Et de déstabiliser la situation en Ukraine en arrêtant le travail du secteur public et en sapant la confiance des Ukrainiens dans le gouvernement. Ils peuvent y parvenir en jetant des faux dans l’infospace sur la vulnérabilité des infrastructures d’information critiques et la « fuite » des données personnelles des Ukrainiens.

Évaluation des dommages

Il n’y a eu aucun rapport immédiat sur les dégradations ayant un effet destructeur sur les réseaux gouvernementaux, bien que Reuters lundi signalé La cyberpolice ukrainienne a découvert que la dégradation de la semaine dernière semblait avoir détruit des « ressources d’information externes ».

« Un certain nombre de ressources d’information externes ont été détruites manuellement par les assaillants », a déclaré la police, sans donner plus de détails. La police a ajouté: « On peut déjà affirmer que l’attaque est plus complexe que la modification de la page d’accueil des sites Web. »

Microsoft, quant à lui, n’a pas précisé si l’effaceur de données destructeur qu’il a trouvé sur les réseaux ukrainiens avait simplement été installé pour une utilisation potentielle ultérieure ou s’il avait effectivement été exécuté pour faire des ravages.

Il n’y a aucune preuve que le gouvernement russe ait été impliqué dans le malware d’essuie-glace ou la dégradation du site Web, et les responsables russes l’ont catégoriquement nié. Mais compte tenu des événements passés, l’implication russe ne serait pas une surprise.

En 2017, une épidémie massive de logiciels malveillants initialement considérés comme des rançongiciels éteignez les ordinateurs du monde entier et a abouti à 10 milliards de dollars de dommages totaux, ce qui en fait la cyberattaque la plus coûteuse de tous les temps.

Pas Petya d’abord propagé se propager via un module de mise à jour légitime de MEDoc, une application de comptabilité fiscale largement utilisée en Ukraine. Les deux ukrainiens
et nous des responsables gouvernementaux ont déclaré que la Russie était à l’origine des attentats. En 2020, les procureurs fédéraux ont inculpé quatre ressortissants russes pour des crimes de piratage présumés impliquant NotPetya.



Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

Plus dans:High-Tech News