Un certain nombre d’organisations en Ukraine ont été frappées par une cyberattaque impliquant un nouveau logiciel malveillant d’effacement de données baptisé HermeticWiper, qui a touché des centaines d’ordinateurs sur leurs réseaux, a constaté ESET Research. L’attaque a eu lieu quelques heures seulement après qu’une série de dénis de service distribués (DDoS) ait mis hors ligne plusieurs sites Web importants dans ce pays.
Détecté par les produits ESET sous le nom de Win32/KillDisk.NCV, le logiciel malveillant d’effacement de données a été repéré pour la première fois mercredi peu avant 17 heures, heure locale (15 heures UTC). L’horodatage du scanneur montre qu’il a été compilé le 28 décembre 2021, ce qui laisse penser que l’attaque est en préparation depuis un certain temps.
{source}
<blockquote class=”twitter-tweet”><p lang=”en” dir=”ltr”>Breaking. <a href=”https://twitter.com/hashtag/ESETResearch?src=hash&ref_src=twsrc%5Etfw”>#ESETResearch</a> discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n</p>— ESET research (@ESETresearch) <a href=”https://twitter.com/ESETresearch/status/1496581903205511181?ref_src=twsrc%5Etfw”>February 23, 2022</a></blockquote> <script async src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>
{/source}
HermeticWiper a abusé des pilotes légitimes de logiciels de gestion de disques populaires. « Le wiper abuse des pilotes légitimes du logiciel EaseUS Partition Master afin de corrompre les données », précisent les chercheurs d’ESET.
En outre, les attaquants ont utilisé un certificat de signature de code authentique émis par une société basée à Chypre appelée Hermetica Digital Ltd, d’où le nom du logiciel malveillant.
Il semble également que dans au moins un des cas, les acteurs malveillants aient eu accès au réseau de la victime avant de déclencher le logiciel malveillant
Plus tôt dans la journée de mercredi, un certain nombre de sites Web ukrainiens ont été mis hors ligne dans le cadre d’une nouvelle vague d’attaques DDoS qui visent le pays depuis des semaines.
À la mi-janvier, une autre attaque de données a affecté l’Ukraine. Baptisé WhisperGate, ce wiper se faisait passer pour un ransomware et apportait quelques échos de l’attaque NotPetya qui avait touché l’Ukraine en juin 2017 avant de faire des ravages dans le monde entier.