IsaacWiper, HermeticWiper, CaddyWiper… la guerre en Ukraine - avec son versant cyber war - a récemment rappelé au monde de la sécurité informatique l’existence des wipers. Mis en lumière par les éditeurs antivirus, ce type de malware destructif, a un mode opératoire d’autant plus complexe à analyser que le virus s’écrase lui-même, en même temps que les données qu’il efface.
Qu'est-ce qu'un wiper ?
Un wiper est un malware particulièrement destructeur. Au contraire des ransomwares qui chiffrent et volent des données dans le but de demander une rançon à leurs victimes, l'utilisation d'un logiciel malveillant de type wiper n'a que rarement une motivation financière. Son seul but est de détruire le maximum de données sur l'ordinateur infecté afin qu'elles soient irrécupérables.
Pour arriver à son but, cette cyber menace peut utiliser plusieurs méthodes. La méthode la plus simple et la plus directe est de réécrire les fichiers présents sur l'appareil, mais aussi les sauvegardes de ces données, et de modifier leur contenu pour qu'ils deviennent inutilisables. Il peut aussi choisir de réécrire le MBR (Master Boot Record) ou le MFT (Master File Table) ce qui empêche le système d'exploitation soit de démarrer, soit de trouver les fichiers et d'y accéder. Enfin, plusieurs wipers se sont fait passer pour des ransomwares afin que leur réelle motivation ne soit pas détectée le plus longtemps possible. Dans ces cas-là, les fichiers sont bien chiffrés à la manière d'un ransomware, mais la clé qui pourrait permettre de les déchiffrer est simplement détruite.
Comme dit au-dessus, l'appât du gain n'est pas ce qui motive les attaques informatiques qui utilisent des malwares de type wiper. Généralement, ces malwares sont utilisés par des groupes soutenus par des États, dans le but de saboter les institutions d'un pays ou son économie en s'attaquant à des entreprises. Nous l'avons vu récemment avec la guerre en Ukraine, ils peuvent être utilisés pour tenter de déstabiliser le fonctionnement d'un pays et être une arme dans une guerre, informatique ou non. Parfois, ils sont simplement utilisés pour supprimer toute trace d'une autre attaque et ainsi rendre difficile, voire impossible, de déterminer ce que les hackers ont pu réaliser comme actions sur les appareils qu'ils ont visés.
Une arme politico-économique redoutable
Si les wipers occupent aujourd’hui de nouveau le devant de la scène dans le domaine de la cybersécurité, c’est parce que plusieurs d’entre eux ont été repérés en Ukraine en l’espace de quelques jours seulement.
Le premier, HermecticWiper, signé par un certificat DigiCert (révoqué depuis), a ciblé plusieurs organisations ukrainiennes le 23 février 2022, quelques heures avant l’invasion militaire russe. D’un point de vue technique, le malware se composait en réalité de trois éléments : le wiper lui-même (HermeticWiper), pour détruire les données, un ver informatique (HermeticWizard), pour propager virus sur le réseau local infecté via WMI et SMB, et un ransomware leurre (HermeticRansom), pour faire diversion. Des traces de mouvement latéral au sein du réseau (Network Lateral Movement) laissent penser que les pirates ont pu prendre le contrôle d’un serveur Active Directory pour déployer le virus.
Le 24 février, un second wiper baptisé IsaacWiper (non signé) s’est attaqué au réseau du gouvernement ukrainien par le biais de RemCom (outil d’accès à distance). Impacket a possiblement été utilisé pour permettre les mouvements au sein du réseau.
Enfin, le 14 mars, un troisième wiper nommé CaddyWiper (non signé) s’est attaqué à un nombre limité d’organisations ukrainiennes.
Dans les trois cas, données utilisateur et informations de partitions des systèmes Windows infectés ont définitivement été détruites par écrasement des fichiers. Une logique d’éradication que les wipers s’appliquent à eux-mêmes puisqu’ils s’autodétruisent également au cours de l’attaque. Par conséquent, toute analyse du virus (code source, logs, identification des pirates) se révèle très difficile à réaliser une fois les dommages constatés.
Des précédents à la renommée mondiale
Impressionnantes et inquiétantes, les attaques informatiques récemment essuyées par l’Ukraine ne sont pas les premières de ce type à avoir tenté de paralyser des appareils et organisations officielles. Parmi les plus remarquables, d’aucuns se souviendront de NotPetya, variant de Petya dont le code avait été modifié pour créer un wiper déguisé en ransomware.
En juin 2017, une mise à jour du logiciel comptable M.E.Doc, très utilisé en Ukraine, a semé la panique dans le monde. En réalité, l'éditeur du logiciel avait été infiltré par des hackers, qui avaient poussé cette mise à jour malveillante contenant le malware NotPetya, un wiper capable de se propager à une vitesse fulgurante. Dès que les ordinateurs étaient infectés, ils affichaient une demande de rançon. Cependant, ce n'était qu'un leurre : si dans un premier temps, NotPetya avait été considéré comme un simple variant du ransomware Petya, il est vite apparu que le malware semait chaos et destruction dans son passage, rendant inutilisables les systèmes infectés et annihilant tout espoir de récupérer les données présentes sur les ordinateurs.
NotPetya était d'autant plus dangereux que c'était un ver informatique, capable de se propager automatiquement dans les réseaux dès lors qu'un appareil de ce réseau était infecté. Pour réaliser ses méfaits, il utilisait entre autres EternalBlue, un exploit développé par la NSA qui utilisait une vulnérabilité présente dans les systèmes d'exploitation de Microsoft et qui avait été rendu public suite à une fuite d'outils de l'agence plus tôt dans l'année. NotPetya combinait cet exploit avec Mimikatz, ce qui lui permettait de récupérer les mots de passe présents dans la mémoire des ordinateurs et ainsi infecter l'ensemble des appareils d'un réseau, même s'ils n'étaient pas vulnérables à EternalBlue. Grâce à cette combinaison explosive, NotPetya pouvait infecter un réseau en quelques secondes et est rapidement sorti des frontières de l'Ukraine pour se propager dans le monde entier.
Le virus a touché simultanément des banques, grandes entreprises, services publics, filières énergétiques, laboratoires pharmaceutiques et centrale nucléaire de Tchernobyl. La France n’a elle-même pas été épargnée, NotPetya ayant partiellement touché des entreprises comme Auchan ou la SNCF, et plus durement encore Saint-Gobain dont les pertes ont été chiffrées à plus de 380 millions de dollars. Le coût total de la cyberattaque a été estimé à plus de 10 milliards de dollars par l’ancien conseiller de la sécurité intérieure de la Maison-Blanche, Tom Bossert. La CIA a conclu en 2018 que la Russie était derrière cette attaque.
Plus localisées, mais toujours dans l’optique de créer des dégâts politiques et économiques, les cyberattaques menées par Lazarus en 2013 ont par deux fois créé le chaos en Corée du Sud en l’espace de quelques mois, effaçant les données et informations de partitions de dizaines de milliers d’ordinateurs d’entreprises bancaires et médiatiques, ainsi que des institutions officielles. Un an plus tard, le groupe nord-coréen récidivait chez Sony Pictures, mettant notamment hors service une grande partie de l’infrastructure PC de l’entreprise.
On rappellera enfin les dégâts occasionnés par Shamoon, responsable de l’infection de 30 000 ordinateurs de la Saudi Aramco en 2012. Paralysée, la société pétrolière a mis plus d’une semaine à contenir l’attaque et réparer les systèmes touchés.
Autant dire qu'une suite de sécurité ou un antivirus gratuit deviennent primordiaux.
Des risques de dommages collatéraux pour les particuliers
Au regard des revendications politiques et économiques sous-jacentes aux attaques par wipers, la plupart des victimes se sont donc révélés être des gouvernements, des grandes entreprises et des organisations médiatiques. Néanmoins, ces types d’attaques virulentes menacent également les particuliers.
En utilisant les outils de partage Windows et en exploitant des vulnérabilités non patchées, les wipers sévissent sur l’ensemble du réseau local. Il suffit alors à un particulier de se connecter à son réseau d’entreprise infecté pour que son PC Windows soit contaminé à son tour et que ses données soient détruites par réécriture du MBR (Master Boot Record). Certains d'entre eux, à l'image de NotPetya, sont également des vers informatiques qui se propagent automatiquement en exploitant de multiples vulnérabilités dans les systèmes et logiciels, infectant tout ce qui est à leur portée sans discrimination.
On sait également que certains wipers se servent du téléchargement frauduleux comme moyen de diffusion. Les hackers à l’origine de NotPetya, par exemple, avaient piraté la page d’accueil du site web de la ville ukrainienne Bakhmut pour déclencher le téléchargement automatique d’une fausse mise à jour Windows. Dans un cas tel que celui-ci, il suffit à l’internaute de cliquer sur l’exécutable vérolé pour amorcer le processus d’infection de la machine, suivi de celui du réseau local et de l’ensemble des appareils Windows connectés à ce même réseau.
Que faire en cas d’infection par un wiper ?
Dans la mesure où les wipers attaquent le système au démarrage de la machine par écrasement du MBR, il n’existe aucun moyen de s’en débarrasser sans dégâts une fois le PC infecté. En revanche, on peut tenter de contenir le malware et empêcher sa propagation à d’autres appareils en déconnectant et en isolant immédiatement l’ordinateur ou le serveur vérolé du réseau local.
À ce jour, le seul moyen d’assainir un PC endommagé par un wiper consiste à réinstaller le système d’exploitation à partir d’une copie physique de Windows.
Wiper : comment se protéger de ces malwares ?
Face au caractère destructeur des wipers, la seule chose à faire pour espérer retrouver ses données en cas d’attaque reste de prendre ses précautions en amont d’une potentielle infection.
Parmi les actions préventives à mettre en place, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande d’effectuer des sauvegardes régulières de ses fichiers et applications critiques sur des supports de stockage froids (disques durs, bandes magnétiques) déconnectés de la machine et du réseau local.
Il est également indispensable de ne jamais cliquer sur des liens, pièces jointes, téléchargements douteux et de faire attention aux tentatives de phishing.
On rappelle l’importance de mettre à jour Windows dès qu’une nouvelle version (mineure ou majeure) se présente. Pour reprendre le cas de NotPetya, la faille exploitée par EternalBlue avait été corrigée plusieurs mois auparavant, mais plusieurs ordinateurs n'avaient pas installé la mise à jour. Il en va de même pour l’ensemble des logiciels installés sur le système, en particulier les navigateurs, les pare-feu et les antivirus.
Il est enfin nécessaire de sécuriser son ordinateur avec l'une des solutions listées dans notre comparatif des meilleurs antivirus. Les bases de données virales sont très régulièrement et automatiquement actualisées pour garantir la protection de l’appareil en temps réel.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu'est ce qu'un cryptolocker et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce qu'un ransomware ou rançongiciel et comment s’en protéger ?
- Qu'est-ce que le phishing et comment s'en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un keylogger et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- Qu’est-ce qu’un botnet et comment s’en protéger ?
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
- moodEssai 14 jours
- devices10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
- moodEssai 30 jours
- devices5 à 30 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsPas de contrôle parental
