Ils identifient un nouveau malware qui attaque les organisations ukrainiennes

Le 24 février 2022, l'équipe de recherche a détecté un autre nouveau logiciel malveillant de type essuie-glace (qui efface tout le contenu/les informations) sur un réseau du gouvernement ukrainien. Ils l'appelaient IsaacWiper . Ce malware se trouve dans un fichier Windows DLL ou EXE sans signature Authenticode ; et selon l'enquête , il est possible qu'IsaacWiper ait été utilisé il y a des mois lors d'opérations précédentes.

Le 25 février 2022, les attaquants ont utilisé une nouvelle version d'IsaacWiper avec des journaux de débogage. Cela peut indiquer que les attaquants n'ont pas pu effectuer l'effacement sur certaines des machines précédemment ciblées et ont ajouté des messages de journal pour comprendre ce qui se passait.

«Ce rapport détaille ce qu'était une cyberattaque destructrice qui a frappé des organisations ukrainiennes le 23 février 2022 et une deuxième attaque qui a frappé une autre organisation ukrainienne et s'est produite du 24 au 26 février 2022. Pour le moment, nous n'avons aucune indication que d'autres pays ont été attaqué. Cependant, en raison de la crise actuelle en Ukraine, il existe toujours un risque que les mêmes acteurs de la menace lancent de nouvelles campagnes contre des pays qui soutiennent le gouvernement ukrainien ou sanctionnent des entités russes.

Ils évaluent actuellement leurs liens, le cas échéant, avec HermeticWiper. Il est important de noter qu'IsaacWiper a été détecté dans une organisation qui n'avait pas été affectée par HermeticWiper. Pour l'instant, on a vu qu'ils ne partagent aucune similitude de code significative avec d'autres échantillons qui composent la collection de logiciels malveillants de la société de cybersécurité.

"Il n'a aucune similitude de code avec HermeticWiper et est beaucoup moins sophistiqué. Compte tenu de la chronologie des événements, il est possible que les deux soient liés, mais nous n'avons pas encore trouvé de lien solide qui nous permette de l'affirmer", mentionnent-ils depuis Eset.

HermeticWiper et HermeticWizard ont été signés à l'aide d'un certificat de signature de code attribué à Hermetica Digital Ltd délivré le 13 avril 2021. La société a demandé à l'autorité de certification (DigiCert) de révoquer le certificat, ce qu'elle a fait le 24 février 2022. Selon un Reuters rapport, il apparaît que ce certificat n'a pas été volé à Hermetica Digital, mais que les attaquants se sont probablement fait passer pour la société chypriote pour obtenir ce certificat auprès de DigiCert.

Les chercheurs affirment que les organisations concernées ont été compromises bien avant que ces essuie-glaces ne soient distribués .

Les chercheurs ont également détecté l'utilisation d'HermeticRansom, un rançongiciel écrit en Go, dans des attaques contre l'Ukraine en même temps que la campagne HermeticWiper était en cours. HermeticRansom a été signalé pour la première fois aux premières heures du 24 février 2022 UTC, via un tweet.

CONTINUER À LIRE