Du 13 au 14 janvier 2022, les sites gouvernementaux ukrainiens étaient le théâtre d’attaque de hackers. D’après Microsoft, de nombreux organismes ont été visés. Ils étaient victimes de rançongiciels qui contenaient des virus d’effacement et de corruption de données.
Explications des faits
Microsoft Threat Intelligence explique que le malware s’était présenté sous forme de logiciel malveillant, semblable à un ransomware. À la différence qu’il ne contenait pas de mécanisme de récupération de rançon. Ce logiciel s’avère plus dangereux, car il détruit et bloque les terminaux ciblés. Après avoir constaté l’attaque, les autorités ukrainiennes ont minimisé l’ampleur des dégâts. Elles ont avancé que le ransomware n’a pas causé de fuite de données personnelles et que le contenu des sites n’a pas changé. Après son analyse, Microsoft a fait part de la gravité de l’attaque, car elle a touché des dizaines de victimes, dont des entreprises spécialisées dans les technologies, des organisations à but non lucratif et des agences gouvernementales. L’éditeur a incité chaque entité a mené une enquête plus approfondie.
Les dessous du malware
Après l’analyse de Microsoft, il a été démontré que les pirates ne voulaient pas demander de rançons, mais détruire et corrompre les données. Ils ont utilisé un virus d’effacement des zones d’amorçage (MBR). La première notification demande une rançon, mais le logiciel malveillant s’incruste dans différents répertoires (C/temp, C/ProgramData, C/Perflogs). Le malware s’active avec Impacket quand l’appareil associé est éteint. Par conséquent, les zones d’amorçage sont écrasées.
En plus de détruire le contenu des fichiers et du MBR, le malware corrompt des fichiers. Une fois en place, il est activé par un lien Discord qui permet de télécharger le corrupteur. Ce dernier localise les fichiers dans les répertoires du système, écrase leurs contenus et les renomme. Pour y remédier, Microsoft propose de procéder à l’authentification de toutes les activités sur l’infrastructure à distance. Il insiste sur la nécessité de cette action, dans le cas des comptes configurés avec une authentification à facteur unique pour enquêter sur les anomalies et de confirmer l’authenticité. Pour empêcher la modification MBR/VBR, il faut activer l’accès contrôlé au dossier (CFA) dans Defender et le MFA ou authentification multifacteur. Celui-ci limite les informations d’identification compromises.
La Russie, le suspect numéro 1
La Russie est accusée d’être le précurseur de ce malware. Le ministère de la transformation numérique a déclaré qu’il détient des preuves incriminant le Kremlin. Il précise qu’il s’agit d’une guerre hybride dirigée par la Russie contre l’Ukraine depuis 7 ans. La Russie a pour objectif de déstabiliser la situation en Ukraine et d’intimider la société. La situation actuelle de ce pays ne s’arrange pas avec le retour de l’ex-président, Petro Porochenko. Il avait été exilé à Varsovie durant 1 mois. Il risque la prison à tout moment, car il est un ancien dirigeant et un opposant du président Volodymyr Zelensky. Il est également un défenseur de la ligne de conduite sévère à Moscou. L’Ukraine a toutefois la garantie de la protection de l’Allemagne face à la Russie.
