Au cours des neuf derniers jours, le conflit entre la Russie et l’Ukraine s’est considérablement intensifié, notamment par une augmentation significative des cyberattaques selon Palo Alto Networks. Le fournisseur dresse un bilan et émet des cyber recommandations.
Une série d’attaques par déni de service distribué (DDoS) a commencé dès le 15 février selon Palo Alto Networks. « Ces attaques se sont poursuivies au cours de la semaine dernière, touchant à la fois le Gouvernement ukrainien et les institutions bancaires. Le 23 février, une nouvelle variante du malware wiper, nommée HermeticWiper, a été découverte en Ukraine. Peu de temps après, une nouvelle série d’attaques de défiguration de sites Web a également été observée, touchant les organisations gouvernementales ukrainiennes ». Ces attaques sont attribués dès le 18 février aux services d’intelligence russes (GRU).
Les éditeurs spécialisés en cybersécurité, dont Symantec et Eset, ont découvert un nouveau logiciel d’effacement des données utilisé dès le 23 février 2022 dans des cyberattaques pour détruire les réseaux ukrainiens, au moment même où la Russie a déclaré la guerre à l’Ukraine. Le « data wiper » Win32/KillDisk.NCV aurait été déployé sur des centaines d’appareils sur les réseaux ukrainiens. Symantec a partagé sur Twitter le hash du nouveau logiciel d’effacement de données.
Une 2e série de défigurations de sites Web
Parallèlement à la découverte du malware wiper, nous avons également assisté à une deuxième série de défigurations de sites Web le 23 février. Ces attaques semblent avoir copié le modèle de message observé dans les attaques exploitant la vulnérabilité OctoberCMS un mois plus tôt, le 14 janvier, tout en ajoutant une adresse Web .onion et un message en caractères rouges qui se traduit par « Si vous avez besoin de preuves, voyez le lien à la fin ».
Le site .onion renvoie à une entité se faisant appeler « Free Civilian » et proposant de vendre des bases de données contenant les données personnelles de citoyens ukrainiens. Au cours des dernières 24 heures, la liste des entités figurant dans la section « fuites » s’est allongée : 48 domaines gov.ua et une société ukrainienne (motorsich[.]com) qui construit des moteurs d’avions et d’hélicoptères.
Des gouvernements occidentaux recommandent de se préparer à des cyberattaques
En réaction, Palo Alto Networks constate que plusieurs gouvernements occidentaux ont recommandé à leurs populations de se préparer à des cyberattaques susceptibles de perturber, de désactiver ou de détruire des infrastructures critiques. « La crise en Ukraine a déjà entraîné une augmentation de la cyberactivité russe, dont nous avons fait état dans notre premier bulletin sur les menaces publié le mois dernier et dans notre récent rapport sur le groupe Gamaredon. De futures attaques pourraient viser des organisations américaines et d’Europe occidentale en représailles à un renforcement des sanctions ou à d’autres mesures politiques contre le gouvernement russe. Nous recommandons à toutes les organisations de se préparer de manière proactive à se défendre contre cette menace potentielle ».
Une visualisation complète des techniques observées, des plans d’action pertinents et des indicateurs de compromission (IoC) liés à ce rapport est disponible dans la visionneuse ATOM de l’Unité 42.
Palo Alto recommande aux organisations de prioriser les actions dans les quatre domaines suivants :
1. Appliquer des correctifs aux logiciels orientés vers Internet et aux logiciels critiques pour l’entreprise :
Appliquez des correctifs pour tous les logiciels contenant des vulnérabilités, et pas seulement pour ceux dont on sait qu’ils sont exploités dans la nature. Cette mesure est la plus urgente pour les logiciels orientés vers l’Internet et nécessaires au fonctionnement de votre entreprise, tels que les webmails, les VPN et autres solutions d’accès à distance.
2. Préparez-vous aux rançongiciels et/ou à la destruction de données :
Une forme probable de cyberattaque perturbatrice fera appel à un ransomware ou à une attaque destructrice qui se fait passer pour un ransomware. Comme nous l’avons vu avec les attaques NotPetya en 2017 et les attaques WhisperGate le mois dernier, une attaque qui demande une rançon peut ne pas être réellement un « ransomware ». Le logiciel malveillant utilisé dans ces attaques a détruit des données sans aucune chance de récupération, utilisant la demande de rançon simplement pour couvrir sa véritable intention. L’utilisation d’HermeticWiper en est une preuve supplémentaire. La préparation requise pour prévenir et récupérer ces attaques est similaire dans les deux cas. Il est essentiel de tester les plans de sauvegarde et de récupération, ainsi que votre plan de continuité des opérations au cas où votre réseau ou d’autres systèmes clés seraient désactivés lors de l’attaque.
3. Soyez prêt à réagir rapidement :
Veillez à désigner des points de contact dans votre organisation dans des domaines clés en cas d’incident de cybersécurité ou de perturbation des infrastructures essentielles. Testez votre protocole de communication (et les protocoles de secours) pour éviter d’être pris sans mécanisme clair de diffusion des informations essentielles. Réalisez un exercice sur table avec toutes les parties clés afin d’expliquer comment vous réagiriez dans le pire des cas.
4. Verrouillez votre réseau :
De petits changements de politique peuvent réduire la probabilité d’une attaque réussie contre votre réseau. Des attaques récentes ont utilisé des applications de chat populaires comme Trello et Discord pour distribuer des fichiers malveillants. Les utilisateurs n’avaient pas besoin d’utiliser le logiciel pour être touchés, les attaquants ont simplement utilisé les plateformes pour héberger des liens vers des fichiers. De nombreuses applications peuvent être exploitées de cette manière et, si votre organisation n’a pas besoin de leur fonctionnalité, leur blocage améliorera votre sécurité.
