Des pirates informatiques parrainés par l’État russe ont effacé les données d’appareils appartenant à des réseaux d’État ukrainiens grâce à des VPN mal protégés et à des logiciels malveillants (s’ouvre dans un nouvel onglet) qui abuse du programme d’archivage populaire WinRAR.
L’équipe d’intervention d’urgence informatique du gouvernement ukrainien (CERT-UA) a récemment affirmé qu’un acteur de la menace russe, qui appartiendrait au groupe Sandworm, avait réussi à compromettre les réseaux de l’État ukrainien en utilisant des comptes VPN compromis qui n’avaient pas d’authentification multifacteur (MFA) définie. en haut.
Après avoir obtenu l’accès, le pirate déploierait un logiciel malveillant appelé « RoarBat » qui efface essentiellement les disques concernés.
Tout supprimer
Ce que fait le logiciel malveillant, c’est rechercher dans le lecteur des fichiers avec différentes extensions, notamment .doc, .txt, .jpg et .xlsx. Il demande ensuite à WinRAR d’archiver tous ces fichiers et ajoute l’option de ligne de commande « -df », qui supprime tous les fichiers en cours d’archivage.
Une fois le travail terminé, le logiciel malveillant supprime l’archive elle-même, effaçant essentiellement toutes les données trouvées sur le disque d’un seul coup.
Les acteurs de la menace ciblent également les appareils Linux, a ajouté l’agence, affirmant que pour ce système d’exploitation, ils utilisent un script Bash et l’utilitaire « dd » pour écraser les fichiers cibles avec zéro octet. « En raison de ce remplacement de données, la récupération des fichiers » vidés « à l’aide de l’outil dd est peu probable, voire totalement impossible », déclare BleepingComputer.
Ce n’est pas la première fois qu’une telle attaque vise des réseaux étatiques ukrainiens, affirme le CERT-UA. En janvier 2023, l’agence de presse d’État du pays, Ukrinform, a également été ciblée par Sandworm :
« La méthode de mise en œuvre du plan malveillant, les adresses IP des sujets d’accès, ainsi que le fait d’utiliser une version modifiée de RoarBat témoignent de la similitude avec la cyberattaque sur Ukrinform, dont les informations ont été publiées dans la chaîne Telegram » CyberArmyofRussia_Reborn » le 17 janvier 2023. » CERT-UA dit.
La meilleure façon de se défendre contre de telles attaques est de maintenir le matériel et les logiciels à jour, d’activer la MFA chaque fois que possible et de limiter autant que possible l’accès aux interfaces de gestion.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)