Imaginez-vous perdre toutes vos données essentielles pour de bon ? Pour la plupart des entreprises, c’est un scénario tout droit sorti de leurs pires cauchemars. Les attaques d’effaceurs du printemps dernier en Ukraine, découvertes par l’équipe d’ESET Research, montrent la rapidité avec laquelle ces malwares se propagent dans les réseaux et l’ampleur des dégâts qu’ils peuvent causer. Quelle est la motivation habituelle de ces attaques, quel est le risque pour les PME, et comment peut-on détecter ou traiter ces malwares ? Voici un aperçu de tout ce que vous devriez savoir, le tout orchestré en collaboration avec Ondrej Kubovic, Security Awareness Specialist chez ESET.
Les PME ne sont pas des cibles habituelles, mais cela ne les protège pas complètement pour autant.
Les attaques d’effaceurs (wipers) sont ciblées, bien pensées et souvent préparées des mois à l’avance. Elles sont cependant plutôt rarement visibles car les attaquants n’en tirent aucun profit financier direct, contrairement par exemple aux attaques de ransomwares. Les cybercriminels cherchent généralement à détruire des données et des systèmes clés. Les effaceurs sont couramment utilisés comme armes dans les cybercombats entre États ou groupes de pirates sophistiqués. Même si le craquage de mots de passe et les attaques de ransomwares restent les plus grandes menaces pour les PME, il est indispensable de rester prudent. Certaines PME ont également été victimes d’attaques d’effaceurs, soit en tant que dommage collatéral, soit en tant qu’éléments de chaînes d’approvisionnement complexes.
|
Une porte ouverte vers de nouvelles attaques ? En 2017, des cybercriminels ont infecté le logiciel de comptabilité ukrainien M.E.Doc, utilisé par la majorité des entreprises du pays. En compromettant son serveur de mise à jour, les attaquants ont réussi à propager le malware à des entreprises partenaires puis au monde entier. La cyberattaque (Not)Petya prouve que les PME peuvent involontairement ouvrir la porte à des attaques sophistiquées, notamment lorsqu’elles fournissent leurs produits ou leurs services à d’autres entreprises. Il en va de même pour les MSP. |
La motivation des attaques d’effaceurs ? Détruire des preuves et imposer la puissance de l'attaquant
Dans certains cas, les attaques d’effaceurs ne sont que l’étape finale de cyberattaques plus complexes comprenant le vol ou le chiffrement des données. Les cybercriminels utilisent souvent des effaceurs non seulement pour détruire des données, mais également pour se débarrasser des preuves. C’était également le cas lors de l’attaque Industroyer de 2016, au cours de laquelle des cybercriminels ont compromis les systèmes d’une société de distribution d’électricité à Kiev en Ukraine, et ont ensuite utilisé un effaceur pour brouiller les pistes. En supprimant les preuves, les effaceurs empêchent potentiellement les victimes de déterminer comment le malware s’est introduit dans leurs appareils ou comment il a agi une fois installé.
Lors des récentes cyberattaques en Ukraine, le malware HermeticWiper a été déployé conjointement à HermeticWizard et HermeticRansom, et une nouvelle variante du malware Industroyer est apparue. Cette fois-ci, Industroyer2 a été déployé conjointement à CaddyWiper et plusieurs autres effaceurs, ciblant spécifiquement les réseaux Linux et Solaris.
Los de conflits géopolitiques, les effaceurs peuvent être utilisés pour projeter de la puissance ou comme composante de la guerre psychologique. Les attaquants veulent montrer qu’ils sont capables de détruire une ou plusieurs parties des systèmes de l’adversaire, en espérant que l’attaque ébranlera son moral et démontrera les capacités de destruction de l’auteur de la menace. Dans ce cas, les effaceurs ne sont pas nécessairement utilisés pour détruire des données clés sur un seul appareil, mais plutôt pour saboter tout un réseau, simplement parce que l’attaquant est en mesure de le faire.
|
Quelles sont les caractéristiques d’une attaque d’effaceur ? Les attaques d’effaceurs se présentent sous différentes formes et ont des objectifs variés. Tandis que certains remplacent toutes les données sur les disques par des zéros ou un contenu généré aléatoirement, d’autres ne détruisent que des portions de documents, ce qui peut aboutir au même résultat et empêcher le fonctionnement des systèmes touchés. Certains effaceurs sont plus « intelligents ». Ils tentent d’abord d’obtenir un maximum de privilèges et d’étendre leur portée, pour ensuite commencer à effacer les données. D’autres types d’effaceurs se concentrent sur la destruction du réseau en tant que tel. Le but de certaines attaques n’est pas de faire cesser le fonctionnement des appareils en quelques minutes, mais plutôt de les détruire progressivement, comme dans le cas de Stuxnet. Ce ver informatique malveillant aurait endommagé de nombreuses centrifugeuses de l’usine iranienne d’enrichissement d’uranium de Natanz. Le malware était très bien caché dans le système et ne causait des dommages que de manière incrémentale, ce qui rendait extrêmement difficile l’identification de la source du problème.
La meilleure prévention ? Un logiciel de cybersécurité de haute qualité, la surveillance constante du réseau et le blocage de tout accès non autorisé à celui-ci. |
D’autres attaques peuvent avoir les mêmes conséquences que les effaceurs
Certaines attaques de ransomwares peuvent finalement avoir le même effet que les attaques d’effaceurs, en détruisant irrémédiablement les données importantes des victimes. Cela se produit lorsque les attaquants cherchent à utiliser un ransomware, mais qu’ils mettent en œuvre le processus de chiffrement de manière incorrecte, et ne peuvent plus déchiffrer les données touchées. Dans ce cas, les données sont perdues, comme dans le cas d’une attaque d’effaceur, même si ce n’était pas l’intention du cybercriminel. Dans d’autres cas, les effaceurs peuvent se faire passer pour des attaques de ransomware, comme ce fut le cas de (Not)Petya.
Les malfaiteurs laissent de fausses preuves derrière eux
En général, il est assez difficile de trouver des traces dans les journaux qui indiquent comment l’effaceur/wiper s’est introduit dans le système. Plusieurs systèmes sont souvent infectés en même temps. Les attaquants plantent parfois de fausses preuves, telles que du code ou des modes opératoires caractéristiques d’un groupe de pirates rival. De cette façon, un acteur différent peut être blâmé au lieu des véritables auteurs. Il est pratiquement impossible d’être sûr à 100 % de l’identité des auteurs de ces attaques massives, jusqu’à ce que les services de sécurité et les forces de police interviennent et utilisent leurs propres renseignements pour les attribuer, une étape généralement suivie de sanctions contre les auteurs.
|
Le jeu des fausses preuves En 2018, un malware nommé rétrospectivement Olympic Destroyer a infecté les systèmes qui géraient la cérémonie d’ouverture des Jeux olympiques d’hiver de Pyeongchang en Corée du Sud. Le malware contenait de nombreuses fausses preuves qui laissaient penser que la Corée du Nord était à l’origine de l’attaque, mais par la suite, des traces pointant vers la Chine et la Russie sont apparues. Il a fallu des semaines pour finalement confirmer que c’était l’équipe Sandworm qui avait gâché la cérémonie. |
Arrêt du processus, et donc de l’effaceur
Lorsqu’un effaceur est détecté dans votre système, stoppez tous les processus en cours et déconnectez l’appareil du réseau, si possible. N’oubliez pas cependant que cette approche ne peut être appliquée que si l’arrêt des processus concernés ne risque pas de causer davantage de dommages ou de mettre en danger la sécurité des employés. La rapidité de l’effacement des données dépend de l’ampleur de l’attaque. Certaines attaques ont des priorités strictement prédéfinies et peuvent mettre toute l’entreprise hors service en quelques minutes, tandis que d’autres prennent des heures pour ce faire et peuvent être interrompues, au moins partiellement.
N’oubliez jamais de mettre en place une stratégie de sauvegarde et de récupération. Si vous devenez la cible d’une attaque d’effaceur, vous disposez peut-être encore d’une sauvegarde hors site ou dans le Cloud qui vous permettra de récupérer vos données en quelques minutes ou en quelques jours seulement.
L’identification des données qui sont cruciales pour votre entreprise est également très utile. Si certaines sociétés peuvent se permettre de perdre quelques factures, pour d’autres, la destruction des données peut s'avérer désastreuse. Imaginez qu’une entreprise de jeux vidéo subisse une telle attaque : la perte de plusieurs mois de données de joueurs dans un jeu en ligne multijoueur peut causer des dommages considérables à la réputation et dissuader les utilisateurs d’y revenir. Même s’il s’agit « simplement » d’un jeu, l’incident pourrait finalement détruire les revenus de l’entreprise et la contraindre à cesser ses activités.
Des sauvegardes de données hors ligne et fiables, ainsi que des stratégies de cybersécurité adaptées et constamment réajustées, pourraient atténuer les risques, en rendant les systèmes des entreprises plus résistants et en forçant les cybercriminels à chercher d’autres moyens de gagner leur argent.
