Pendant des semaines, le Le monde de la cybersécurité s’est préparé à un piratage destructeur qui pourrait accompagner ou présager une invasion russe de l’Ukraine. Maintenant, la première vague de ces attaques semble être arrivée. Bien que jusqu’à présent à petite échelle, la campagne utilise des techniques qui font allusion à une répétition de la campagne de cyberguerre massivement perturbatrice de la Russie qui a paralysé le gouvernement ukrainien et les infrastructures critiques au cours des années passées.
Des logiciels malveillants destructeurs de données, se faisant passer pour des rançongiciels, ont frappé des ordinateurs au sein d’agences gouvernementales ukrainiennes et d’organisations connexes, ont déclaré samedi soir des chercheurs en sécurité de Microsoft. Parmi les victimes figurent une société informatique qui gère une collection de sites Web, comme ceux-là mêmes que les pirates ont dégradés avec un message anti-ukrainien tôt vendredi. Mais Microsoft a également averti que le nombre de victimes pourrait encore augmenter à mesure que le logiciel malveillant d’essuie-glace est découvert sur davantage de réseaux.
Viktor Zhora, un haut responsable de l’agence de cybersécurité ukrainienne connue sous le nom de Services d’État pour la protection spéciale des communications et des informations, ou SSSCIP, a déclaré qu’il avait commencé à entendre parler des messages de ransomware vendredi. Les administrateurs ont trouvé des PC verrouillés et affichant un message exigeant 10 000 € en Bitcoin, mais les disques durs des machines ont été irréversiblement corrompus lorsqu’un administrateur les a redémarrés. Il dit que SSSCIP n’a trouvé le malware que sur une poignée de machines, mais aussi que Microsoft a averti les Ukrainiens qu’il avait des preuves que le malware avait infecté des dizaines de systèmes. Dimanche matin HE, l’un d’entre eux semble avoir tenté de payer la rançon dans son intégralité.
« Nous essayons de voir si cela est lié à une attaque plus importante », explique Zhora. « Cela pourrait être une première phase, une partie de choses plus graves qui pourraient se produire dans un avenir proche. C’est pourquoi nous sommes très inquiets. »
Microsoft avertit que lorsqu’un PC infecté par le faux rançongiciel est redémarré, le logiciel malveillant écrase l’enregistrement de démarrage principal ou MBR de l’ordinateur, des informations sur le disque dur qui indiquent à un ordinateur comment charger son système d’exploitation. Ensuite, il exécute un programme de corruption de fichiers qui écrase une longue liste de types de fichiers dans certains répertoires. Ces techniques destructrices sont inhabituelles pour les ransomwares, note le blog de Microsoft, étant donné qu’elles ne sont pas facilement réversibles si une victime paie une rançon. Ni le logiciel malveillant ni le message de rançon ne semblent personnalisés pour chaque victime de cette campagne, ce qui suggère que les pirates n’avaient aucune intention de suivre les victimes ou de déverrouiller les machines de ceux qui paient.
Les deux techniques destructrices du logiciel malveillant, ainsi que son faux message de ransomware, rappellent étrangement les cyberattaques d’effacement de données que la Russie a menées contre les systèmes ukrainiens de 2015 à 2017, parfois avec des résultats dévastateurs. Au cours des vagues de 2015 et 2016 de ces attaques, un groupe de pirates connu sous le nom de Sandworm, identifié plus tard comme faisant partie de l’agence de renseignement militaire russe GRU, a utilisé des logiciels malveillants similaires au type identifié par Microsoft pour effacer des centaines de PC dans les médias ukrainiens, les services publics d’électricité, système ferroviaire et les agences gouvernementales, y compris son Trésor et son fonds de pension.
Ces perturbations ciblées, dont beaucoup utilisaient de faux messages de rançongiciels similaires dans le but de semer la confusion chez les enquêteurs, ont culminé avec la publication par Sandworm du ver NotPetya en juin 2017, qui s’est propagé automatiquement d’une machine à l’autre au sein des réseaux. Comme cette attaque actuelle, NotPetya a écrasé les enregistrements de démarrage principaux ainsi qu’une liste de types de fichiers, paralysant des centaines d’organisations ukrainiennes, des banques aux hôpitaux de Kiev en passant par l’opération de surveillance et de nettoyage de Tchernobyl. En quelques heures, NotPetya s’est répandu dans le monde entier, causant finalement un total de 10 milliards de dollars de dégâts, la cyberattaque la plus coûteuse de l’histoire.
L’apparition de logiciels malveillants qui ressemblent même vaguement à ces attaques précédentes a déclenché l’alarme au sein de la communauté mondiale de la cybersécurité, qui avait déjà mis en garde contre une escalade destructrice de données compte tenu des tensions dans la région. La société de sécurité Mandiant, par exemple, a publié vendredi un guide détaillé sur le renforcement des systèmes informatiques contre les attaques destructrices potentielles du type de celles que la Russie a menées dans le passé. « Nous avons spécifiquement averti nos clients d’une attaque destructrice qui semblait être un rançongiciel », déclare John Hultquist, qui dirige les renseignements sur les menaces de Mandiant.
Microsoft a pris soin de souligner qu’il n’a aucune preuve de la responsabilité d’un groupe de pirates informatiques connu pour le nouveau logiciel malveillant qu’il a découvert. Mais Hultquist dit qu’il ne peut s’empêcher de remarquer les similitudes entre le malware et les essuie-glaces destructeurs utilisés par Sandworm. Le GRU a une longue histoire d’actes de sabotage et de perturbation dans le soi-disant «étranger proche» de la Russie des anciens États soviétiques. Et Sandworm en particulier a l’habitude d’intensifier son piratage destructeur dans les moments de tension ou de conflit actif entre l’Ukraine et la Russie. « Dans le contexte de cette crise, nous nous attendons à ce que le GRU soit l’acteur le plus agressif », déclare Hultquist. « Ce problème, c’est leur timonerie. »