Microsoft découvre de nouvelles organisations de ciblage de logiciels malveillants en Ukraine

  • FrançaisFrançais


  • Les experts en sécurité de Microsoft ont identifié une nouvelle campagne de logiciels malveillants ciblant plusieurs organisations informatiques, à but non lucratif et gouvernementales basées en Ukraine. Suivi comme WhisperGate, les activités de la campagne de malware destructrice ont été repérées pour la première fois le 13 janvier. Selon un rapport du Microsoft Threat Intelligence Center (MSTIC), le malware utilisé par cette campagne est conçu pour ressembler à un ransomware mais ne dispose pas d’un mécanisme de récupération de rançon. Il s’avère que la campagne vise à compromettre les systèmes ciblés plutôt qu’à obtenir une rançon.

    “Nos équipes d’enquête ont identifié le logiciel malveillant sur des dizaines de systèmes touchés, et ce nombre pourrait augmenter à mesure que notre enquête se poursuit. Ces systèmes couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l’information en Ukraine. Nous ne connaissons pas l’étape actuelle du cycle opérationnel de cet attaquant ou combien d’autres organisations de victimes peuvent exister en Ukraine ou dans d’autres lieux géographiques. Cependant, il est peu probable que ces systèmes impactés représentent toute l’étendue de l’impact, comme le signalent d’autres organisations », a déclaré MSTIC.

    Bien que les attaquants à l’origine de cette campagne de logiciels malveillants soient inconnus, Microsoft a déclaré avoir informé les utilisateurs et les organisations concernés de WhisperGate.

    Infection de la campagne WhisperGate

    Le malware WhisperGate est capable d’écraser le Master Boot Record (MBR) sur les systèmes victimes avec une fausse note de rançon. La note de rançon contient un portefeuille Bitcoin et un identifiant Tox. Le logiciel malveillant s’exécute lorsque l’appareil compromis est éteint. Une fois infecté, le logiciel malveillant réside dans divers répertoires de travail, notamment C:PerfLogs, C:ProgramData, C: et C:temp, et est souvent nommé stage1.exe.

    A lire aussi : Des réseaux russes accusés d’avoir mené une cyberattaque massive contre l’Ukraine

    “Le malware s’exécute lorsque l’appareil associé est éteint. L’écrasement du MBR est atypique pour les rançongiciels cybercriminels. En réalité, la note de ransomware est une ruse, et le malware détruit le MBR et le contenu des fichiers qu’il cible », a ajouté MSTIC.

    Atténuations

    • Passez en revue toutes les activités d’authentification pour l’infrastructure d’accès à distance, en vous concentrant sur les comptes configurés avec l’authentification à facteur unique, pour confirmer l’authenticité et enquêter sur toute activité anormale.
    • Activez l’authentification multifacteur (MFA) pour atténuer les informations d’identification potentiellement compromises et appliquer la MFA pour la connectivité à distance.
    • Utilisez les indicateurs de compromission inclus pour déterminer s’ils existent dans votre environnement et évaluer les intrusions potentielles.
    • Activez l’accès contrôlé aux dossiers (CFA) dans Microsoft Defender pour point de terminaison pour empêcher la modification du MBR/VBR.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *