Les chercheurs d'ESET ont découvert un autre effaceur de données destructeur qui a été utilisé dans des attaques contre des organisations en Ukraine.

Baptisé CaddyWiper par les analystes d'ESET, le logiciel malveillant a été détecté pour la première fois à 11 h 38, heure locale (9 h 38 UTC), lundi. Le wiper, qui détruit les données des utilisateurs et les informations des partitions des disques attachés, a été repéré sur plusieurs dizaines de systèmes dans un nombre limité d'organisations. Il est détecté par les produits ESET sous le nom de Win32/KillDisk.NCX.

Le code de CaddyWiper ne présente aucune similitude majeure avec celui d'HermeticWiper ou d'IsaacWiper, les deux autres nouveaux programmes de suppression de données qui ont frappé des entreprises en Ukraine depuis le 23 février.

Cependant, comme dans le cas d'HermeticWiper, il existe des preuves suggérant que les acteurs malveillants à l'origine de CaddyWiper ont infiltré le réseau de la cible avant de déclencher le wipper.

Un logiciel effaceur par semaine

C'est la troisième fois en autant de semaines que les chercheurs d'ESET repèrent une souche inconnue de logiciel malveillant de type effaceur de données en Ukraine.

À la veille de l'invasion de l'Ukraine par la Russie, la télémétrie d'ESET a détecté HermeticWiper sur les réseaux d'un certain nombre d'organisations ukrainiennes de premier plan. Les campagnes ont également exploité HermeticWizard, un ver personnalisé utilisé pour propager HermeticWiper dans les réseaux locaux, et HermeticRansom, qui a servi de rançongiciel-leurre.

Le lendemain, une deuxième attaque destructrice contre un réseau gouvernemental ukrainien a débuté, cette fois-ci en déployant IsaacWiper.

L'Ukraine dans le collimateur

En janvier de cette année, un autre effaceur de données, appelé WhisperGate, a attaqué les réseaux de plusieurs organisations en Ukraine.

Toutes ces campagnes ne sont que les dernières d'une longue série d'attaques qui ont touché des cibles de premier plan dans le pays au cours des huit dernières années. Comme l'ont exploré les chercheurs d'ESET dans un récent webinaire et podcast, l'Ukraine a été la cible de plusieurs cyberattaques très perturbatrices depuis 2014, notamment l'attaque NotPetya qui a affecté les réseaux de plusieurs entreprises ukrainiennes en juin 2017 avant de se propager au-delà des frontières de ce pays.

ESET Recherche propose désormais un rapport de renseignement privé sur les APT ainsi qu'un influx de données. Pour toute demande de renseignements sur ce nouveau service, ou sur les recherches publiées sur WeLiveSecurity, veuillez nous contacter à l'adresse threatintel@eset.com.