Les logiciels malveillants Wiper progressent, augmentant de 53 % en 3 mois

Sep 20, 2023

L'utilisation accrue d'effaceurs de disque dans les cyberattaques qui a commencé avec l'invasion de l'Ukraine par la Russie au début de l'année dernière s'est poursuivie sans relâche, et les logiciels malveillants se sont transformés en une menace puissante pour les organisations de la région et d'ailleurs.

Les chercheurs de Fortinet ont récemment analysé les données d'attaque du second semestre 2022 et ont observé une augmentation surprenante de 53 % de l'utilisation des effaceurs de disque par les acteurs malveillants entre le troisième et le quatrième trimestre de l'année. La trajectoire suggère qu’il n’y aura pas de ralentissement de si tôt, a déclaré le fournisseur de sécurité.

Les groupes de menace persistante avancée (APT) basés en Russie – travaillant pour soutenir les objectifs militaires du pays en Ukraine – ont été à l'origine d'une grande partie de l'augmentation initiale de l'utilisation des essuie-glaces et de la poursuite de leurs activités l'année dernière. Cependant, les données de Fortinet montrent que d'autres, notamment des cybercriminels motivés par des motivations financières, des groupes hacktivistes et d'autres individus, ont également alimenté cette augmentation, en particulier vers la fin de 2022.

Jusqu'à l'année dernière, l'activité des essuie-glaces avait tendance à être presque inexistante, selon Geri Revay, chercheur en sécurité chez FortiGuard Labs de Fortinet. Mais depuis le début du conflit entre la Russie et l’Ukraine, l’utilisation de ces logiciels malveillants par les acteurs malveillants a explosé, dit-il.

« Rien qu'en 2022, nous avons vu 16 familles différentes ciblées dans 25 pays à travers le monde », explique Revay. « Au cours du second semestre, nous avons également commencé à voir une nouvelle génération de wipers, dont certains sont même open source et sur GitHub, ce qui les rend beaucoup plus facilement disponibles pour les campagnes avancées de cybercriminalité persistante », dit-il.

Le rapport de Fortinet met en évidence plusieurs familles d'essuyeurs qu'il considère comme présentant une menace majeure pour les organisations en raison de leur utilisation par les acteurs malveillants au cours de l'année écoulée. Parmi les plus importants d'entre eux se trouve HermeticWiper, un essuie-glace qui efface et écrase l'enregistrement de démarrage principal d'un système compromis. Le wiper est apparu pour la première fois lors d’attaques contre des organisations ukrainiennes en 2021. Fortinet a déclaré avoir observé un pic d’activité significatif l’année dernière impliquant HermeticWiper en novembre, qui est devenu encore plus prononcé en décembre.

Parmi les autres essuie-glaces que le fournisseur de sécurité a observé que les acteurs malveillants utilisaient largement lors d'attaques l'année dernière, citons WhisperGate, une souche de malware qui ressemble à un ransomware en surface mais qui ne dispose d'aucun mécanisme de récupération de données ; Pas Petya ; DoubleZéro ; et IsaacWiper. Les analystes ont déjà identifié le groupe de renseignement militaire russe comme étant probablement derrière WhisperGate. Il est intéressant de noter que Shamoon, un essuie-glace utilisé lors d’une attaque qui a détruit des milliers de PC chez Saudi Aramco il y a plus de dix ans, est également resté populaire parmi les acteurs l’année dernière. Les données de Fortinet ont montré que Shamoon était l'un des essuie-glaces les plus utilisés lors d'attaques destructrices l'année dernière.

Actuellement, la principale motivation de l’utilisation de malwares wiper semble être axée sur la cyberguerre et le hacktivisme, explique Revay. Mais cela ne signifie pas que les auteurs de menaces ne l'utiliseront pas d'autres manières, comme en utilisant des essuie-glaces pour saboter les systèmes ou détruire les preuves d'un cybercrime.

"Le sabotage est la raison la plus évidente pour déployer un essuie-glace", note Revay. "Tout comme Stuxnet a été utilisé pour détruire des centrifugeuses afin de ralentir les efforts de l'Iran pour développer des armes nucléaires, les logiciels malveillants wiper pourraient être utilisés pour détruire des données, saboter le développement, provoquer des pertes financières ou simplement provoquer le chaos." Et l'utilisation d'essuie-glaces pour détruire les preuves, bien que bruyante, permet également aux attaquants de faire le travail et est beaucoup plus simple que de supprimer tous les fichiers journaux et les logiciels malveillants, dit-il.

Le rapport de Fortinet fait partie de plusieurs rapports qui ont mis en évidence une forte augmentation de l'utilisation et de la variété des effaceurs de disque au cours de l'année écoulée. Alors que les recherches de Fortinet ont montré que les auteurs de menaces ont utilisé 16 familles de wipers lors d'attaques l'année dernière, un autre rapport de Max Kersten, analyste de logiciels malveillants chez Trellix, a identifié plus de 20 familles de wipers que les acteurs malveillants ont utilisées dans des attaques destructrices l'année dernière.

Les organisations ukrainiennes restent des cibles privilégiées, comme l'a démontré une récente attaque contre la principale agence de presse du pays impliquant l'utilisation de cinq variantes distinctes d'essuie-glaces. Mais les organisations d’autres pays sont également confrontées à un risque croissant d’attaques. Fortinet, par exemple, a découvert que WhisperGate et HermeticWiper étaient tous deux les plus répandus en dehors de l'Europe. Un plus grand nombre d'organisations en Afrique et en Asie ont subi des attaques impliquant les deux familles d'essuie-glaces que d'organisations en Europe. Et l’Amérique du Nord, dans l’ensemble, continue de connaître le moins d’activité d’effacement, a déclaré le fournisseur de sécurité.