Le Microsoft Threat Intelligence Center (MSTIC) a identifié des preuves d’une opération malveillante destructrice ciblant plusieurs organisations en Ukraine. Ce logiciel malveillant est apparu pour la première fois sur les systèmes des victimes en Ukraine le 13 janvier 2022. Microsoft est conscient des événements géopolitiques en cours en Ukraine et dans la région environnante et encourage les organisations à utiliser les informations contenues dans ce message pour se protéger de manière proactive contre toute activité malveillante.

Au fur et à mesure que notre enquête se poursuit, MSTIC n’a trouvé aucune association notable entre cette activité observée, répertoriée sous la référence DEV-0586, et d’autres groupes d’activité connus. MSTIC évalue que les logiciels malveillants, conçus pour ressembler à des logiciels de rançon mais dépourvus de mécanisme de récupération de rançon, sont destinés à être destructeurs et conçus pour rendre les appareils ciblés inutilisables plutôt que d’obtenir une rançon.

Actuellement, sur la base de la visibilité de Microsoft, nos équipes d’enquête ont identifié le logiciel malveillant sur des dizaines de systèmes concernés, et le nombre peut augmenter à mesure que notre enquête se poursuit. Ces systèmes couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l’information, toutes basées en Ukraine. Nous ne connaissons pas l’étape actuelle du cycle opérationnel de cet attaquant ou combien d’autres organisations de victimes pourraient exister en Ukraine ou dans d’autres lieux géographiques. Cependant, il est peu probable que ces systèmes affectés représentent l’intégralité de l’impact, comme le signalent d’autres organisations.

Compte tenu de l’ampleur des intrusions observées, MSTIC n’est pas en mesure d’évaluer l’intention des actions destructrices identifiées, mais estime que ces actions présentent un risque élevé pour toute agence gouvernementale, organisation à but non lucratif ou entreprise dont le siège ou les systèmes sont en Ukraine. Nous encourageons fortement toutes les organisations à mener immédiatement une enquête approfondie et à mettre en place des défenses en utilisant les informations fournies dans ce message. MSTIC mettra à jour ce blog au fur et à mesure que nous aurons plus d’informations à partager.

Comme pour toute activité observée d’acteurs étatiques, Microsoft informe directement et de manière proactive les clients qu’ils ont été ciblés ou compromis, en leur fournissant les informations dont ils ont besoin pour guider leurs enquêtes. MSTIC travaille également activement avec des membres de la communauté mondiale de la sécurité et d’autres partenaires stratégiques pour partager des informations qui peuvent faire face à cette menace en évolution sur plusieurs canaux. Microsoft utilise les désignations DEV – #### comme nom temporaire attribué à un cluster d’activité de menace inconnu, émergent ou en développement, permettant à MSTIC de le suivre comme un ensemble unique d’informations jusqu’à ce qu’il atteigne une sécurité élevée sur l’origine ou l’identité du acteur derrière l’activité. Une fois qu’il répond aux critères, un DEV est soit converti en un acteur nommé, soit fusionné avec des acteurs existants.

Activité de l’acteur observé

Activité de l'acteur observé
© 365dm.com

Le 13 janvier, Microsoft a identifié une activité d’intrusion en provenance d’Ukraine qui semblait être une activité possible de Wiper Master Boot Records (MBR). Au cours de notre enquête, nous avons découvert une fonctionnalité malveillante unique utilisée dans des attaques par intrusion contre plusieurs organisations victimes en Ukraine. Sur le même sujet : Service client SpaceX Starlink inexistant après 1 an, selon les utilisateurs.

Étape 1 : Remplacez l’enregistrement de démarrage principal pour afficher une fausse note de rançon

Le logiciel malveillant réside dans divers répertoires de travail, notamment C:PerfLogs, C:ProgramData, C: et C:temp, et est souvent appelé stage1. A voir aussi : Marvel révèle TITAN, le Hulk le plus meurtrier de l’histoire de la bande dessinée.exe. Dans les intrusions observées, le logiciel malveillant s’exécute via Impacket, une fonctionnalité accessible au public souvent utilisée par les acteurs de la menace pour le mouvement latéral et l’exécution.

Les logiciels malveillants en deux étapes écrasent le Master Boot Record (MBR) sur les systèmes des victimes avec une note de rançon (Phase 1). Le MBR est la partie d’un disque dur qui indique à l’ordinateur comment charger son système d’exploitation. La note de rançon contient un portefeuille Bitcoin et un Tox ID (un identifiant de compte unique utilisé dans le protocole de messagerie cryptée Tox) qui n’ont pas été observés auparavant par MSTIC :

Le logiciel malveillant s’exécute lorsque l’appareil couplé est éteint. L’écrasement du MBR est atypique pour les rançongiciels cybercriminels. En réalité, le ransomware connu est un stratagème et le malware détruit le MBR et le contenu des fichiers qu’il cible. Il existe plusieurs raisons pour lesquelles cette activité est incompatible avec l’activité de rançongiciel cybercriminel observée par MSTIC, notamment :

Microsoft continuera de surveiller l’activité de DEV-0586 et de mettre en œuvre des protections pour nos clients. Les détections actuelles, les détections avancées et les IOC en place dans nos produits de sécurité sont détaillés ci-dessous.

Étape 2 : fichier corrompant les logiciels malveillants

Stage2.exe est un téléchargeur de logiciels malveillants de corruption de fichiers. Au moment de l’exécution, stage2.exe télécharge le logiciel malveillant de la prochaine étape hébergé sur un canal Discord, avec le lien de téléchargement encodé dans le téléchargeur. Voir l'article : La ressource de divertissement numérique pour lancer Land NFT Conçu par. Le logiciel malveillant de la prochaine étape peut être décrit comme un corrupteur de fichier malveillant. Une fois exécuté en mémoire, le corrupteur localise les fichiers dans certains répertoires du système avec l’une des extensions de fichier codées en dur suivantes :

Si un fichier contient l’une des extensions ci-dessus, celle qui est corrompue écrase le contenu du fichier avec un nombre fixe d’octets 0xCC (taille totale du fichier de 1 Mo). Après avoir écrasé le contenu, le destructeur renomme chaque fichier avec une extension de quatre octets apparemment aléatoire. L’analyse de ce malware est en cours.

A découvrir aussi

Actions client recommandées

Actions client recommandées
© gannett-cdn.com

Les équipes de sécurité de MSTIC et de Microsoft travaillent à la création et à la mise en œuvre de détections pour cette activité. À ce jour, Microsoft a mis en place des protections pour détecter cette famille de malwares tels que WhisperGate (ex. DoS : Win32 / WhisperGate.A! Dha) via Microsoft Defender Antivirus et Microsoft Defender for Endpoint, partout où ils sont déployés localement et dans des environnements cloud. A voir aussi : Le projet UAPB aide les petits exploitants agricoles à améliorer leurs opérations grâce à des programmes d’agences de services agricoles. Nous poursuivons l’enquête et partagerons des mises à jour importantes avec les clients concernés, ainsi qu’avec des partenaires des secteurs public et privé, pour obtenir plus d’informations. Les techniques utilisées par l’acteur et décrites dans cet article peuvent être atténuées en adoptant les considérations de sécurité fournies ci-dessous :

Indicateurs de compromis (CIO)

La liste suivante présente les DSI observés au cours de notre enquête. Ceci pourrait vous intéresser : Pourquoi les actions de Tesla, Rivian et Nikola ont chuté aujourd’hui. Nous encourageons les clients à étudier ces indicateurs dans leurs environnements et à mettre en œuvre des détections et des protections pour identifier les activités liées passées et prévenir de futures attaques contre leurs systèmes.

REMARQUE : Ces indicateurs ne doivent pas être considérés comme exhaustifs pour cette activité observée.

Enquêtes

Défenseur Microsoft 365