CryWiper : un faux rançongiciel

Le nouveau programme malveillant CryWiper se présente comme un rançongiciel et corrompt les fichiers de façon permanente.

Nos experts ont découvert l’attaque d’un nouveau cheval de Troie qu’ils ont baptisé CryWiper. À première vue, ce programme malveillant ressemble à un rançongiciel (ransomware) : il modifie les fichiers, leur ajoute une extension et sauvegarde un fichier README.txt avec une demande de rançon qui contient l’adresse du portefeuille Bitcoin, l’adresse e-mail des créateurs afin de les contacter et l’identifiant de l’infection. Pourtant, ce programme malveillant est en réalité un wiper : un fichier modifié par CryWiper ne peut pas être restauré à son état d’origine. Si vous voyez une demande de rançon et que vos fichiers ont une nouvelle extension .CRY, ne payez pas. C’est inutile.

Par le passé, nous avons vu comment certaines souches de programmes malveillants devenaient un wiper par accident, et à cause d’erreurs commises par leurs créateurs qui avaient mal intégré les algorithmes de chiffrement. Pourtant, cette fois ce n’est pas le cas : nos experts sont convaincus que l’objectif principal des cybercriminels n’est pas l’appât du gain mais la destruction des données. Les fichiers ne sont pas vraiment chiffrés. Le cheval de Troie les écrase avec des données générées de façon soi-disant aléatoire.

Les cibles de CryWiper

Le cheval de Troie corrompt toutes les données qui ne sont pas nécessaires au bon fonctionnement du système d’exploitation. Il n’affecte pas les fichiers qui ont les extensions .exe, .dll. .lnk, .sys, ou .msi et ignore plusieurs dossiers système du répertoire C:\Windows. Le programme malveillant se concentre sur les bases de données, les archives et les documents de l’utilisateur.

Jusqu’à présent, nos experts n’ont identifié que des attaques qui ciblent la Russie. Pourtant, comme d’habitude, personne ne peut garantir que ce même code ne sera pas utilisé pour s’en prendre à d’autres cibles.

Le fonctionnement du cheval de Troie CryWiper

En plus de directement écraser le contenu des fichiers pour les rendre inutilisables, CryWiper effectue aussi les tâches suivantes :

  • Création d’une tâche qui redémarre le wiper toutes les cinq minutes grâce au planificateur de tâches de Windows.
  • Envoi du nom de l’ordinateur infecté au serveur C&C et attente d’un ordre pour lancer l’attaque.
  • Interruption des processus liés aux serveurs de bases de données MySQL et MS SQL, aux serveurs de messagerie MS Exchange et aux services Web MS Active Directory (sinon l’accès à certains fichiers seraient bloquer et ne pourraient pas être corrompus).
  • Suppression des fichiers Shadow Copy pour qu’ils ne puissent pas être restaurés (mais seulement ceux du disque dur C: pour une quelconque raison).
  • Désactivation de la connexion au système affecté via le protocole d’accès à distance.

L’objectif de ce dernier point n’est pas évident. Peut-être qu’en désactivant la connexion les auteurs du programme malveillant essaient de compliquer le travail de l’équipe de réponse à l’incident, qui préférerait clairement accéder au dispositif infecté à distance. Dans le cas contraire, l’équipe devra se déplacer afin d’y accéder physiquement. Vous trouverez tous les détails techniques de cette attaque ainsi que les indicateurs de compromission dans cet article publié sur Securelist (en russe).

Comment vous protéger

Pour protéger les ordinateurs de votre entreprise contre les rançongiciels et les wipers, nos experts vous conseillent d’appliquer les mesures suivantes :

  • Contrôlez minutieusement les connexions d’accès à distance à votre infrastructure. Interdisez les connexions des réseaux publics et n’autorisez l’accès à distance que via un tunnel VPN et avec un mot de passe unique, fort et complexe tout en activant l’authentification à deux facteurs.
  • Mettez les logiciels critiques à jour dès que possible et faites particulièrement attention au système d’exploitation, aux solutions de sécurité, aux clients VPN et aux outils d’accès à distance.
  • Formez vos employés en sécurité, notamment en utilisant des outils en ligne spécialisés.
  • Installez des solutions de sécurité avancée pour protéger les appareils professionnels et le périmètre du réseau de l’entreprise.
Conseils