Nouvel épisode dans la guerre entre la Russie et l’Ukraine. Un logiciel d’effacement de données — dit wiper — jamais documenté vient de faire son apparition, selon un rapport de Kaspersky publié le 1er décembre 2022. Nommé CryWiper, ce malware prend la forme d’un rançongiciel. Cependant, il ne se contente pas de bloquer les fichiers, mais finit par les supprimer.
Le logiciel a été repéré pour la première fois cet automne, dans une attaque contre une organisation russe. Un média russe indique que plusieurs mairies et tribunaux de régions en Russie ont été attaqués par CryWiper. Dans la note laissée aux victimes, les attaquants donnent une adresse e-mail et un portefeuille bitcoin, exigeant 0,5 bitcoin (environ 8 100 euros) pour débloquer les données. Rien ne sera restauré après le paiement.
« CryWiper se déguise en ransomware et stocke les demandes de rançon dans un fichier README.txt. Le texte intégré utilise les éléments de langage d’un groupe de rançongiciel classique. Il n’y a de toute façon rien à déchiffrer après l’infection », note Kaspersky.
Les interventions de sauvetage entravées
En termes de code et de fonctionnalités, CryWiper est un nouveau malware qui n’est lié à aucune famille répertoriée. Il va jusqu’à supprimer toutes les copies sur la machine compromise pour barrer toute tentative de restauration. L’entreprise en cyber rapporte avoir constaté des délais d’exécution de 4 jours dans certains cas, probablement ajoutés dans le code pour aider à confondre la victime quant à la cause de l’infection. Le programme modifie également le registre Windows pour empêcher les connexions à distance, ce qui est susceptible d’entraver l’intervention d’urgence et la réponse aux incidents des spécialistes en cyber. Autant dire que l’exécution d’un tel malware est souvent fatale pour système informatique.
Les chercheurs ont juste noté des similarités dans l’algorithme avec celui d’un autre wiper, Isaacwiper. Ce logiciel a été utilisé par les Russes pour attaquer le gouvernement ukrainien en mars dernier. À ce stade, il est impossible de déterminer qui est l’attaquant derrière Crywiper. Le malware a uniquement été détecté dans des institutions russes.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !