La crise cyber empire en Ukraine

Microsoft alerte sur une campagne malveillante visant des organisations gouvernementales, des associations et des entreprises technologiques ukrainiennes. Petite particularité de cette attaque, sous couvert de ransomware le programme malveillant détruit purement et simplement les fichiers.

Au lendemain d’une campagne de défacement des sites web des pouvoirs publics ukrainiens, Kiev subit une nouvelle cyberattaque, autrement plus sérieuse cette fois-ci. Le Threat Intelligence Center de Microsoft annonce avoir repéré le 13 janvier dernier un programme malveillant ciblant des organisations ukrainiennes. En apparence, un ransomware bête et méchant.

Mais celui-ci, baptisé DEV-0586, est dépourvu de mécanismes de récupération des données et semble plutôt être conçu pour mettre hors service les machines infectées et détruire les fichiers qui y sont stockés. Un « wiper » qui n’est pas sans rappeler NotPetya, qui lui aussi ciblait des organisations ukrainiennes avant de légèrement déraper.

Le destructeur

DEV-0586 procède en deux étapes. La première consiste à écraser le Master Boot Record, en laissant une note de rançon. C’est le but de ce premier programme malveillant nommé stage1.exe et exécuté via Impacket. Mais, pour Microsoft, la demande de rançon est un leurre. L’écrasement du MBR est en effet atypique, pour un ransomware. De même, la charge utile était la même chez plusieurs victimes, quand les cybercriminels la personnalisent pour chacune de leurs victimes. En outre, la demande de rançon ne comprend pas d’identifiant personnalisé, entre autres, et un seul moyen de contacter les ravisseurs.

Deuxième étape, le programme stage2.exe provoque la corruption des fichiers de la machine infectée. Microsoft livre une liste des extensions visées, dont .3DS, .CMD, .CONFIG, .DOCX, .JAVA, .PPT, .JPG, .XLS, .ZIP… bref, le logiciel malveillant brasse large et écrase le contenu des fichiers concernés, avec de les renommer avec une extension de quatre caractères a priori aléatoires. A noter que ce programme est hébergé sur un canal Discord, avec le lien de téléchargement codé en dur dans le téléchargeur.

Redmond ne mentionne pas la méthode de propagation ni le vecteur d’infection utilisé par les attaquants. « Nos équipes d'enquête ont identifié le logiciel malveillant sur des dizaines de systèmes touchés et ce nombre pourrait augmenter à mesure que notre enquête se poursuit » précise Microsoft. L’analyse du programme malveillant est toujours en cours.