Vous utilisez une ancienne version de votre navigateur. Veuillez utiliser une version prise en charge pour bénéficier d’une meilleure expérience MSN.

Un nouveau malware détruit toutes les données des mairies russes

logo de Numerama Numerama 05/12/2022 Bogdan Bodnar
© Fournis par Numerama

Un wiper, destiné à effacer toutes les données sur l'ordinateur, touche de nombreuses institutions en Russie. Ce logiciel malveillant est totalement nouveau et n'a été revendiqué par aucun groupe ou État.

Un wiper, destiné à effacer toutes les données sur l’ordinateur, touche de nombreuses institutions en Russie. Ce logiciel malveillant est totalement nouveau et n’a été revendiqué par aucun groupe ou État.

Nouvel épisode dans la guerre entre la Russie et l’Ukraine. Un logiciel d’effacement de données — dit wiper — jamais documenté vient de faire son apparition, selon un rapport de Kaspersky publié le 1er décembre 2022. Nommé CryWiper, ce malware prend la forme d’un rançongiciel. Cependant, il ne se contente pas de bloquer les fichiers, mais finit par les supprimer.

Le logiciel a été repéré pour la première fois cet automne, dans une attaque contre une organisation russe. Un média russe indique que plusieurs mairies et tribunaux de régions en Russie ont été attaqués par CryWiper. Dans la note laissée aux victimes, les attaquants donnent une adresse e-mail et un portefeuille bitcoin, exigeant 0,5 bitcoin (environ 8 100 euros) pour débloquer les données. Rien ne sera restauré après le paiement.

« CryWiper se déguise en ransomware et stocke les demandes de rançon dans un fichier README.txt. Le texte intégré utilise les éléments de langage d’un groupe de rançongiciel classique. Il n’y a de toute façon rien à déchiffrer après l’infection », note Kaspersky.

« Le serveur va détruire toutes les données dans les 24h . » Le message laissé par le malware. // Source : Kaspersky © Fournis par Numerama « Le serveur va détruire toutes les données dans les 24h . » Le message laissé par le malware. // Source : Kaspersky

Les interventions de sauvetage entravées

En termes de code et de fonctionnalités, CryWiper est un nouveau malware qui n’est lié à aucune famille répertoriée. Il va jusqu’à supprimer toutes les copies sur la machine compromise pour barrer toute tentative de restauration. L’entreprise en cyber rapporte avoir constaté des délais d’exécution de 4 jours dans certains cas, probablement ajoutés dans le code pour aider à confondre la victime quant à la cause de l’infection. Le programme modifie également le registre Windows pour empêcher les connexions à distance, ce qui est susceptible d’entraver l’intervention d’urgence et la réponse aux incidents des spécialistes en cyber. Autant dire que l’exécution d’un tel malware est souvent fatale pour système informatique.

Les chercheurs ont juste noté des similarités dans l’algorithme avec celui d’un autre wiper, Isaacwiper. Ce logiciel a été utilisé par les Russes pour attaquer le gouvernement ukrainien en mars dernier. À ce stade, il est impossible de déterminer qui est l’attaquant derrière Crywiper. Le malware a uniquement été détecté dans des institutions russes.

Pensez à nos newsletters pour suivre Numerama

Publicité
Publicité

Plus d'infos : Numerama

Publicité
image beaconimage beaconimage beacon