Un malware Wiper inédit frappe des cibles israéliennes

Des chercheurs disent qu’ils ont découvert une nouvelle méthode d’effacement de disque logiciel malveillant qui se déguise en ransomware alors qu’il déclenche des attaques destructrices sur des cibles israéliennes.

Apostle, comme l’appellent les chercheurs de la société de sécurité SentinelOne, a été initialement déployé pour tenter d’effacer des données, mais n’y est pas parvenu, probablement en raison d’un défaut de logique dans son code. Le nom interne que ses développeurs lui ont donné était « wiper-action ». Dans une version ultérieure, le bogue a été corrigé et le logiciel malveillant a acquis des comportements de ransomware à part entière, notamment la possibilité de laisser des notes demandant aux victimes de payer une rançon en échange d’une clé de décryptage.

Dans un post publié mardi, Les chercheurs de SentinelOne ont déclaré qu’ils avaient déterminé avec une grande confiance que, sur la base du code et des serveurs auxquels Apostle faisait rapport, le malware était utilisé par un groupe nouvellement découvert ayant des liens avec le gouvernement iranien. Bien qu’une note de ransomware récupérée par les chercheurs suggère qu’Apostle a été utilisé contre une installation critique aux Émirats arabes unis, la cible principale était Israël.

« L’utilisation d’un ransomware comme outil de perturbation est généralement difficile à prouver, car il est difficile de déterminer les intentions d’un acteur de la menace », indique le rapport de mardi. « L’analyse du malware Apostle fournit un aperçu rare de ce type d’attaques, en traçant une ligne claire entre ce qui a commencé comme un malware wiper et un ransomware pleinement opérationnel. »

Les chercheurs ont surnommé le nouveau groupe de pirates Agrius. SentinelOne a vu le groupe utiliser tout d’abord Apostle en tant que nettoyeur de disque, bien qu’une faille du malware l’en ait empêché, très probablement en raison d’une erreur de logique dans son code. Agrius s’est ensuite rabattu sur Deadwood, un wiper qui avait déjà été utilisé contre une cible en Arabie saoudite en 2019.

La nouvelle version d’Apostle d’Agrius est un ransomware à part entière.

« Nous pensons que l’implémentation de la fonctionnalité de chiffrement est là pour masquer son intention réelle – détruire les données des victimes », indique le post de mardi. « Cette thèse est étayée par une première version d’Apostle que les attaquants ont nommée en interne ‘wiper-action’. »

Apostle a un chevauchement de code important avec une porte dérobée, appelée IPSec Helper, qu’Agrius utilise également. IPSec Helper reçoit une multitude de commandes, telles que le téléchargement et l’exécution d’un fichier exécutable, qui sont émises par le serveur de contrôle de l’attaquant. Apostle et IPSec Helper sont tous deux écrits en langage .Net.

Agrius utilise également des webshells afin que les attaquants puissent se déplacer latéralement dans un réseau compromis. Pour dissimuler leurs adresses IP, les membres utilisent le ProtonVPN.

Les hackers parrainés par l’Iran avaient déjà une affinité pour les effaceurs de disque. En 2012, un logiciel malveillant auto-réplicatif a déchiré le réseau de la société Saudi Aramco, le plus grand exportateur de pétrole brut au monde, basée en Arabie saoudite, et le réseau de la compagnie de transport de gaz naturel. détruit définitivement les disques durs de plus de 30 000 postes de travail. Les chercheurs ont ensuite identifié le ver de l’essuie-glace comme étant Shamoon et ont déclaré qu’il était l’œuvre de l’Iran.

En 2016, Shamoon est réapparu dans une campagne qui a frappé plusieurs organisations en Arabie saoudite, dont plusieurs agences gouvernementales. Trois ans plus tard, les chercheurs ont découvert une nouvel essuyeur iranien appelé ZeroCleare.

Apostle n’est pas le premier wiper à être déguisé en ransomware. NotPetya, le ver qui a infligé des milliards de dollars de dommages dans le monde entier., se faisait également passer pour un ransomware jusqu’à ce que les chercheurs déterminent qu’il avait été créé par des pirates soutenus par le gouvernement russe pour déstabiliser l’Ukraine.

Juan Andres Guerrero-Saade, chercheur principal sur les menaces chez SentinelOne, a déclaré lors d’une interview que les logiciels malveillants tels qu’Apostle illustrent l’interaction qui se produit souvent entre des pirates motivés par des raisons financières et des pirates de l’informatique. cybercriminels et les hackers d’états-nations.

« L’écosystème de la menace ne cesse d’évoluer, les attaquants développant différentes techniques pour atteindre leurs objectifs », a-t-il déclaré. « Nous voyons des bandes de cybercriminels apprendre des groupes d’États-nations mieux dotés en ressources. De même, les groupes d’États-nations empruntent aux bandes criminelles – faisant passer leurs attaques perturbatrices sous le couvert de ransomwares, sans indication quant à savoir si les victimes récupéreront effectivement leurs fichiers en échange d’une rançon. »