Posté le janvier 18, 2022 à 11:05

LE CENTRE DE RENSEIGNEMENT SUR LES MENACES DE MICROSOFT DÉCOUVRE UN LOGICIEL MALVEILLANT VISANT DES ORGANISATIONS UKRAINIENNES

L’Ukraine est confrontée à l’une de ses pires cyberattaques. La semaine dernière, environ 70 sites Web gouvernementaux ont été mis hors service par des acteurs inconnus. Ce piratage intervient alors que le pays est confronté à une série de problèmes géopolitiques.

Le Microsoft Threat Intelligence Center (MSTIC) a publié un billet de blog signalant une opération de logiciels malveillants visant des organisations en Ukraine. Le billet de blog indique que le logiciel malveillant a été détecté pour la première fois dans le pays le 13 janvier 2022.

Microsoft détecte un logiciel malveillant visant l’Ukraine

Auparavant, le ministre ukrainien de la transformation numérique avait noté que toutes les preuves des cyberattaques pointaient vers la Russie. Cependant, la recherche de Microsoft a noté qu’il n’y avait aucun lien entre l’activité du logiciel malveillant et l’un des groupes de hackers connus.

Le rapport indique également que le logiciel malveillant a été conçu pour ressembler à un ransomware, mais que les attaquants n’ont pas demandé de rançon. Ainsi, son intention première était de paralyser les opérations des organisations attaquées.

« À l’heure actuelle et sur la base de la visibilité de Microsoft, nos équipes d’investigation ont identifié le logiciel malveillant sur des dizaines de systèmes touchés, et ce nombre pourrait augmenter à mesure que notre enquête se poursuit. Ces systèmes couvrent de multiples organisations gouvernementales, à but non lucratif et informatiques, toutes basées en Ukraine », peut-on lire dans le billet de blog.

Microsoft note que le premier signe de cette activité a été détecté le 13 janvier. Le rapport indique que l’activité du hacker semblait provenir d’Ukraine, les attaques pouvant être des « activités de nettoyage des disques d’amorçage principaux (MBR) ».

Des recherches plus poussées ont montré que le logiciel malveillant pouvait attaquer plusieurs organisations en Ukraine. En outre, un examen des intrusions déjà réalisées a montré que le logiciel malveillant fonctionnait à l’aide d’Impacket. Il s’agit d’une capacité publique utilisée par les hackers pour exécuter un logiciel malveillant.

Le logiciel malveillant a écrasé le MBR des systèmes des victimes à l’aide d’une note de rançon. La note de rançon contient une adresse de portefeuille Bitcoin et un identifiant Tox utilisé dans le protocole de messagerie chiffrée Tox. MSTIC note que ce comportement n’avait pas été détecté auparavant.

MSTIC note également que le logiciel malveillant n’est exécuté que lorsque le système de la victime a été éteint. Bien que les attaquants joignent une note de rançon, les activités qui ont été exposées montrent qu’une attaque par ransomware n’est pas l’intention principale.

« Microsoft continuera à surveiller l’activité de DEX-0586 et à mettre en place des protections pour ses clients », ajoute MSTIC.

Le rapport indique en outre que l’attaque du logiciel malveillant s’est déroulée en deux étapes, la deuxième étant la corruption de fichiers. Les attaques ont exécuté un logiciel malveillant corrupteur de fichiers qui téléchargera l’étape suivante du logiciel malveillant hébergé sur un canal Discord.

Une fois que ce logiciel malveillant de deuxième étape a été exécuté, le corrupteur de fichiers va localiser les fichiers répertoriés dans différents répertoires du système. MSTIC a également fourni une liste d’extensions qui, si elles étaient exécutées par un fichier, le corrupteur écraserait le contenu du fichier. Après l’écrasement du contenu, l’attaquant renomme le fichier en utilisant une extension de quatre octets.

Microsoft a indiqué que les recherches sur ce logiciel malveillant étaient toujours en cours. Par conséquent, d’autres analyses et résultats seront donnés concernant les opérations du logiciel malveillant.

Microsoft donne des conseils pour se protéger

Les effets de ce logiciel malveillant sont importants, étant donné qu’il s’attaque à des organisations gouvernementales. C’est pourquoi Microsoft a proposé plusieurs stratégies que les organisations peuvent utiliser pour s’assurer qu’elles ne sont pas victimes.

Microsoft a indiqué que ses systèmes disposaient déjà de mesures pour détecter ce logiciel malveillant et permettre aux organisations de s’en protéger. Parmi les protections déjà mises en place par l’entreprise, citons WhisperGate qui utilise Microsoft Defender Antivirus et Microsoft Defender for Endpoint. Le rapport note que ces protections sont efficaces lorsqu’elles sont déployées sur le cloud et sur site.

« Nous poursuivons l’enquête et partagerons des mises à jour importantes avec les clients concernés, ainsi que les partenaires des secteurs public et privé, et obtiendrons davantage d’informations. »

En outre, Microsoft a donné des considérations de sécurité supplémentaires que les organisations doivent prendre en compte. L’une d’entre elles consiste à utiliser les indicateurs de compromission pour lancer des enquêtes afin de déterminer si le logiciel malveillant existe dans les systèmes de l’organisation et d’évaluer le risque d’une attaque.

Microsoft a également exhorté les organisations à mettre en place une authentification multifactorielle afin d’atténuer les risques d’attaque si les informations d’identification du compte sont compromises. Les organisations doivent également s’assurer que l’authentification multifactorielle est activée pour la connectivité à distance. L’utilisation de fonctionnalités telles que Microsoft Authenticator permettra de sécuriser les comptes sans mot de passe.

« Examinez toute l’activité d’authentification pour l’infrastructure d’accès à distance, en vous concentrant particulièrement sur les comptes configurés avec une authentification à facteur unique, afin de conformer l’authenticité et d’enquêter sur toute activité anormale », conclut le rapport.