- Publicité -


05 décembre 2022Ravie LakshmananSécurité des terminaux / Protection des données

Logiciel malveillant d'effaceur de données CryWiper

Un nouveau logiciel malveillant d’effacement de données appelé CryWiper a été trouvé ciblant des agences gouvernementales russes, y compris les bureaux du maire et les tribunaux.

- Publicité -

“Bien qu’il se déguise en ransomware et extorque de l’argent à la victime pour ‘déchiffrer’ les données, [it] ne crypte pas réellement, mais détruit délibérément les données du système concerné », ont déclaré Fedor Sinitsyn et Janis Zinchenko, chercheurs de Kaspersky. a dit dans un écrit.

Des détails supplémentaires sur les attaques ont été partagés par la publication d’information en langue russe Izvestia. Les intrusions n’ont pas été attribuées à un groupe adverse spécifique jusqu’à présent.

La cyber-sécurité

Logiciel malveillant basé sur C++, CryWiper est configuré pour établir la persistance via une tâche planifiée et communiquer avec un serveur de commande et de contrôle (C2) pour lancer l’activité malveillante.

En plus de mettre fin aux processus liés aux bases de données et aux serveurs de messagerie, le logiciel malveillant est équipé de capacités pour supprimer les clichés instantanés de fichiers et modifier le registre Windows pour empêcher les connexions RDP dans une tentative probable d’entraver les efforts de réponse aux incidents.

Comme dernière étape, l’essuie-glace corrompt tous les fichiers à l’exception de ceux avec les extensions “.exe”, “.dll”, “lnk”, “.sys” et “.msi”, tout en ignorant des répertoires spécifiques, y compris C :\Windows, Boot et tmp, ce qui pourrait autrement rendre la machine inutilisable.

Les fichiers écrasés avec des données inutiles sont ensuite ajoutés avec une extension appelée “.CRY”, après quoi une note de rançon est supprimée pour donner l’impression qu’il s’agit d’un programme de ransomware, exhortant la victime à payer 0,5 Bitcoin pour récupérer l’accès.

“L’activité de CryWiper montre une fois de plus que le paiement de la rançon ne garantit pas la récupération des fichiers”, ont déclaré les chercheurs, affirmant que le malware “détruit délibérément le contenu des fichiers”.

CryWiper est le deuxième souche de logiciels malveillants d’essuie-glace de représailles visant la Russie après RURansom, un essuie-glace basé sur .NET qui a été trouvé ciblant des entités dans le pays au début du mois de mars.

Le conflit en cours entre la Russie et l’Ukraine a impliqué le déploiement de plusieurs essuie-glaces, ce dernier étant touché par un large éventail de logiciels malveillants tels que WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2 et DoubleZero.

“Les essuie-glaces peuvent être efficaces quelles que soient les compétences techniques de l’attaquant, car même le plus simple des essuie-glaces peut faire des ravages sur les systèmes affectés”, a déclaré Max Kersten, chercheur chez Trellix. a dit dans une analyse de logiciels malveillants destructeurs le mois dernier.

“Le temps nécessaire pour créer un tel logiciel malveillant est faible, en particulier par rapport aux portes dérobées d’espionnage complexes et aux vulnérabilités souvent associées qui sont utilisées. Le retour sur investissement n’a pas besoin d’être élevé dans ces cas, bien qu’il soit peu probable que quelques-uns les essuie-glaces doivent faire autant de ravages en eux-mêmes.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici