Repéré en aout 2022, CryWiper se fait passer pour un ransomware mais détruit délibérément les données du système infecté.
L’arroseur arrosé. À l'automne 2022, Kaspersky a repéré un logiciel malveillant inconnu de type wiper (essuie glaces) attaquer le réseau d’une organisation en Fédération de Russie. Selon des médias locaux, des tribunaux et des agences gouvernementales russes ont été touchés. Baptisé CryWiper, le logiciel malveillant a été découvert pour la toute première fois en août dernier, après que des centaines de PC de la Cour suprême de Russie ont été infectés.
CryWiper détruit les données
Le nouvel exemple que Kaspersky a pu analyser cet automne est un fichier exécutable 64 bits pour le système d’exploitation Windows. Le cheval de troie se déguise en rançongiciel et extorque de l'argent à la victime, « il ne chiffre pas réellement, mais détruit délibérément les données du système affecté. », indique le chercheur en cybersécurité. Une analyse du code du programme du cheval de Troie prouve qu’il ne s’agit pas d’une erreur du développeur mais de « son intention initiale ».
CryWiper singe les éléments de langage d’un ransomware classique et transmet bien une adresse e-mail et un portefeuille bitcoin afin d'effectuer un versement de 0,5 bitcoin (environ 8 100 euros) pour débloquer les données. Mais c’est « un canular » prévient Kaspersky. Les données elles, ne seront jamais restaurées. L’adresse e-mail utilisée a déjà servi dans plusieurs échantillons de ransomwares. « Deux d'entre eux appartiennent à la célèbre famille de rançongiciels Trojan-Ransom.Win32.Xorist, et le troisième est un exemple moins connu de la famille Trojan-Ransom.MSIL.Agent. Le premier exemple utilisant cette adresse est daté de la mi-juin 2017. », décrivent les chercheurs en cybersécurité.
Perturber les organisations gouvernementales
Malgré ces pistes, Kaspersky botte en touche et ne spécule pas sur l’identité des hackeurs. Sous fond de guerre en Ukraine, les chercheurs estiment néanmoins « que le nombre de cyberattaques, y compris celles utilisant des essuie-glaces, augmentera, en grande partie en raison de la situation instable dans le monde. » CryWiper, un cheval de Troie politique ? Une fois la réputation du malware faite, les victimes seront sans doute peu enclines à verser la rançon puisque leurs données seront perdues de toute façon. Il y a donc fort à parier que l’objectif final du malware soit effectivement de perturber le fonctionnement des organisations gouvernementales.