Microsoft alerte sur une campagne malveillante visant des organisations gouvernementales, des associations et des entreprises technologiques ukrainiennes. Petite particularité de cette attaque, sous couvert de ransomware le programme malveillant détruit purement et simplement les fichiers.
Au lendemain dâune campagne de dĂ©facement des sites web des pouvoirs publics ukrainiens, Kiev subit une nouvelle cyberattaque, autrement plus sĂ©rieuse cette fois-ci. Le Threat Intelligence Center de Microsoft annonce avoir repĂ©rĂ© le 13 janvier dernier un programme malveillant ciblant des organisations ukrainiennes. En apparence, un ransomware bĂȘte et mĂ©chant.
Mais celui-ci, baptisĂ© DEV-0586, est dĂ©pourvu de mĂ©canismes de rĂ©cupĂ©ration des donnĂ©es et semble plutĂŽt ĂȘtre conçu pour mettre hors service les machines infectĂ©es et dĂ©truire les fichiers qui y sont stockĂ©s. Un « wiper » qui nâest pas sans rappeler NotPetya, qui lui aussi ciblait des organisations ukrainiennes avant de lĂ©gĂšrement dĂ©raper.
Le destructeur
DEV-0586 procĂšde en deux Ă©tapes. La premiĂšre consiste Ă Ă©craser le Master Boot Record, en laissant une note de rançon. Câest le but de ce premier programme malveillant nommĂ© stage1.exe et exĂ©cutĂ© via Impacket. Mais, pour Microsoft, la demande de rançon est un leurre. LâĂ©crasement du MBR est en effet atypique, pour un ransomware. De mĂȘme, la charge utile Ă©tait la mĂȘme chez plusieurs victimes, quand les cybercriminels la personnalisent pour chacune de leurs victimes. En outre, la demande de rançon ne comprend pas dâidentifiant personnalisĂ©, entre autres, et un seul moyen de contacter les ravisseurs.
DeuxiÚme étape, le programme stage2.exe provoque la corruption des fichiers de la machine infectée. Microsoft livre une liste des extensions visées, dont .3DS, .CMD, .CONFIG, .DOCX, .JAVA, .PPT, .JPG, .XLS, .ZIP⊠bref, le logiciel malveillant brasse large et écrase le contenu des fichiers concernés, avec de les renommer avec une extension de quatre caractÚres a priori aléatoires. A noter que ce programme est hébergé sur un canal Discord, avec le lien de téléchargement codé en dur dans le téléchargeur.
Redmond ne mentionne pas la mĂ©thode de propagation ni le vecteur dâinfection utilisĂ© par les attaquants. « Nos Ă©quipes d'enquĂȘte ont identifiĂ© le logiciel malveillant sur des dizaines de systĂšmes touchĂ©s et ce nombre pourrait augmenter Ă mesure que notre enquĂȘte se poursuit » prĂ©cise Microsoft. Lâanalyse du programme malveillant est toujours en cours.