Au moins six acteurs différents alignés sur la Russie ont lancé pas moins de 237 cyberattaques contre l’Ukraine du 23 février au 8 avril, dont 38 attaques destructrices discrètes qui ont irrévocablement détruit des fichiers dans des centaines de systèmes à travers des dizaines d’organisations dans le pays.
« Collectivement, les actions cyber et cinétiques contribuent à perturber ou à dégrader les fonctions gouvernementales et militaires ukrainiennes et à saper la confiance du public dans ces mêmes institutions », a déclaré l’unité de sécurité numérique (DSU) de l’entreprise. mentionné dans un rapport spécial.
Les principales familles de logiciels malveillants qui ont été exploitées pour des activités destructrices dans le cadre des assauts numériques incessants de la Russie comprennent : WhisperGate, HermeticWiper (FoxBlade alias KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DésertLameDoubleZero (FiberLake) et Industroyer2.
WhisperGate, HermeticWiper, IssacWiper et CaddyWiper sont tous des effaceurs de données conçus pour écraser les données et rendre les machines non démarrables, tandis que DoubleZero est un malware .NET capable de supprimer des données. DesertBlade, également un nettoyeur de données, aurait été lancé contre une société de radiodiffusion anonyme en Ukraine le 1er mars.
SonicVote, d’autre part, est un chiffreur de fichiers détecté en conjonction avec HermeticWiper pour déguiser les intrusions en une attaque de ransomware, tandis qu’Industroyer2 cible spécifiquement la technologie opérationnelle pour saboter la production et les processus industriels critiques.
Microsoft a attribué HermeticWiper, CaddyWiper et Industroyer2 avec une confiance modérée à un acteur parrainé par l’État russe nommé Sandworm (alias Iridium). Les attaques de WhisperGate ont été liées à un cluster jusque-là inconnu appelé DEV-0586, qui serait affilié au renseignement militaire russe GRU.
On estime que 32% des 38 attaques destructrices au total ont ciblé des organisations gouvernementales ukrainiennes aux niveaux national, régional et municipal, avec plus de 40% des attaques visant des organisations dans des secteurs d’infrastructures critiques dans les nations.
En outre, Microsoft a déclaré avoir observé Nobelium, l’acteur de la menace accusé de l’attaque de la chaîne d’approvisionnement SolarWinds en 2020, tentant de violer des entreprises informatiques desservant des clients gouvernementaux dans les États membres de l’OTAN, en utilisant l’accès aux données de siphon des organisations occidentales de politique étrangère.
D’autres attaques malveillantes impliquent des campagnes de phishing ciblant des entités militaires (Fancy Bear alias Strontium) et des responsables gouvernementaux (Primitive Bear alias Actinium) ainsi que des opérations de vol de données (Energetic Bear alias Bromine) et de reconnaissance (Venomous Bear alias Krypton).
« L’utilisation par la Russie des cyberattaques semble être fortement corrélée et parfois directement synchronisée avec ses opérations militaires cinétiques ciblant des services et des institutions cruciaux pour les civils », a déclaré Tom Burt, vice-président de la sécurité et de la confiance des clients, mentionné.
« Étant donné que les acteurs de la menace russe ont reproduit et intensifié les actions militaires, nous pensons que les cyberattaques continueront de s’intensifier à mesure que le conflit fait rage. Il est probable que les attaques que nous avons observées ne représentent qu’une fraction des activités visant l’Ukraine. »
Poster un commentaire