Qu’est-ce qu’un malware de type wiper ?

29 mars 2022 à 10h00
Sponsorisé par
Avira
1
Sponsorisé par Avira
hacker

IsaacWiper, HermeticWiper, CaddyWiper : la guerre en Ukraine a récemment rappelé au monde de la sécurité informatique l’existence des wipers. Un type de malware destructif, au mode opératoire d’autant plus complexe à analyser que le virus s’écrase lui-même, en même temps que les données qu’il efface.

Une arme politico-économique redoutable

Avec le wiper, le ransomware a trouvé son maître. Alors que le second se contente de chiffrer les données d’un système informatique et d’exiger une rançon en échange de leur restitution, le premier les supprime sans aucune possibilité de récupération, endommageant au passage les systèmes d’exploitation infectés. Cette notion d’irréversibilité en fait une cybermenace à prendre très au sérieux.

Si les wipers occupent aujourd’hui le devant de la scène dans le domaine de la cybersécurité , c’est parce que trois d’entre eux ont été repérés en Ukraine en l’espace de quelques jours seulement.

Le premier, HermecticWiper , signé par un certificat DigiCert (révoqué depuis), a ciblé plusieurs organisations ukrainiennes le 23 février 2022, quelques heures avant l’invasion militaire russe. D’un point de vue technique, le malware se composait en réalité de trois éléments : le wiper lui-même (HermeticWiper), pour détruire les données, un ver informatique (HermeticWizard), pour propager virus sur le réseau local infecté via WMI et SMB, et un ransomware leurre (HermeticRansom), pour faire diversion. Des traces de mouvement latéral au sein du réseau (Network Lateral Movement) laissent penser que les pirates ont pu prendre le contrôle d’un serveur Active Directory pour déployer le virus.

Windows 11 - Ecran noir de la mort © The Verge

Le 24 février, un second wiper baptisé IsaacWiper (non signé) s’est attaqué au réseau du gouvernement ukrainien par le biais de RemCom (outil d’accès à distance). Impacket a possiblement été utilisé pour permettre les mouvements au sein du réseau.

Enfin, le 14 mars, un troisième wiper nommé CaddyWiper (non signé) s’est attaqué à un nombre limité d’organisations ukrainiennes.

Dans les trois cas, données utilisateur et informations de partitions des systèmes Windows infectés ont définitivement été détruites par écrasement des fichiers. Une logique d’éradication que les wipers s’appliquent à eux-mêmes puisqu’ils s’autodétruisent également au cours de l’attaque. Par conséquent, toute analyse du virus (code source, logs, identification des pirates) se révèle très difficile à réaliser une fois les dommages constatés.

Des précédents à la renommée mondiale

Impressionnantes et inquiétantes, les attaques informatiques récemment essuyées par l’Ukraine ne sont pas les premières de ce type à avoir tenté de paralyser des appareils et organisations officielles. Parmi les plus remarquables, d’aucuns se souviendront de NotPetya, variant de Petya dont le code avait été modifié pour créer un wiper déguisé en ransomware.

Révélé en juin 2017, le virus s’est propagé dans le monde comme une traînée de poudre, touchant simultanément des banques, grandes entreprises, services publics, filières énergétiques, laboratoires pharmaceutiques et centrale nucléaire de Tchernobyl. La France n’a elle-même pas été épargnée, NotPetya ayant partiellement touché des entreprises comme Auchan ou la SNCF, et plus durement encore Saint-Gobain dont les pertes ont été chiffrées à plus de 380 millions de dollars. Le coût total de la cyberattaque a été estimé à plus de 10 milliards de dollars par l’ancien conseiller de la sécurité intérieure de la Maison-Blanche, Tom Bossert.

Plus localisées, mais toujours dans l’optique de créer des dégâts politiques et économiques, les cyberattaques menées par Lazarus en 2013 ont par deux fois créé le chaos en Corée du Sud en l’espace de quelques mois, effaçant les données et informations de partitions de dizaines de milliers d’ordinateurs d’entreprises bancaires et médiatiques, ainsi que des institutions officielles. Un an plus tard, le groupe nord-coréen récidivait chez Sony Pictures, mettant notamment hors service une grande partie de l’infrastructure PC de l’entreprise.

hacker

On rappellera enfin les dégâts occasionnés par Shamoon , responsable de l’infection de 30 000 ordinateurs de la Saudi Aramco en 2012. Paralysée, la société pétrolière a mis plus d’une semaine à contenir l’attaque et réparer les systèmes touchés.


Des risques de dommages collatéraux pour les particuliers

Au regard des revendications politiques et économiques sous-jacentes aux attaques par wipers, la plupart des victimes se sont donc révélés être des gouvernements, des grandes entreprises et des organisations médiatiques. Néanmoins, ces types d’attaques virulentes menacent également les particuliers.

En utilisant les outils de partage Windows et en exploitant des vulnérabilités non patchées, les wipers sévissent sur l’ensemble du réseau local. Il suffit alors à un particulier de se connecter à son réseau d’entreprise infecté pour que son PC Windows soit contaminé à son tour et que ses données soient détruites par réécriture du MBR (Master Boot Record).

On sait également que certains wipers se servent du téléchargement frauduleux comme moyen de diffusion. Les hackers à l’origine de NotPetya, par exemple, avaient piraté la page d’accueil du site web de la ville ukrainienne Bakhmut pour déclencher le téléchargement automatique d’une fausse mise à jour Windows. Dans un cas tel que celui-ci, il suffit à l’internaute de cliquer sur l’exécutable vérolé pour amorcer le processus d’infection de la machine, suivi de celui du réseau local et de l’ensemble des appareils Windows connectés à ce même réseau.

Que faire en cas d’infection par un wiper ?

Dans la mesure où les wipers attaquent le système au démarrage de la machine par écrasement du MBR, il n’existe aucun moyen de s’en débarrasser sans dégâts une fois le PC infecté. En revanche, on peut tenter de contenir le malware et empêcher sa propagation à d’autres appareils en déconnectant et en isolant immédiatement l’ordinateur ou le serveur vérolé du réseau local.

À ce jour, le seul moyen d’assainir un PC endommagé par un wiper consiste à réinstaller le système d’exploitation à partir d’une copie physique de Windows .

Comment s’en préserver ?

Face au caractère destructeur des wipers, la seule chose à faire pour espérer retrouver ses données en cas d’attaque reste de prendre ses précautions en amont d’une potentielle infection.

Parmi les actions préventives à mettre en place, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande d’effectuer des sauvegardes régulières de ses fichiers et applications critiques sur des supports de stockage froids (disques durs, bandes magnétiques) déconnectés de la machine et du réseau local.

Il est également indispensable de ne jamais cliquer sur des liens, pièces jointes, téléchargements douteux.

phishing © clubic.com

On rappelle l’importance de mettre à jour Windows dès qu’une nouvelle version (mineure ou majeure) se présente. Il en va de même pour l’ensemble des logiciels installés sur le système, en particulier les navigateurs, les pare-feu et les antivirus.

Il est enfin nécessaire de sécuriser son ordinateur à l’aide d’un antivirus à la maintenance active, dont les bases de données virales sont très régulièrement et automatiquement actualisées pour garantir la protection de l’appareil en temps réel.

Avira, l’antivirus gratuit qui ne transige pas avec la sécurité des PC

Facile à installer, à configurer et à utiliser, Avira Free Antivirus protège les systèmes Windows (versions 7 et ultérieures) contre différentes cybermenaces : virus, chevaux de Troie, ransomwares et vers, dont les wipers. Une couverture exhaustive rendue possible par un arsenal de technologies déployées par l’éditeur, en local et en ligne.

avira screen

Fonctionnalité essentielle, le scanner antivirus d’Avira analyse le système ainsi que l’ensemble des fichiers que vous téléchargez de manière à détecter et bloquer tous les logiciels malveillants avant qu’ils n’infectent votre ordinateur. Cet outil s’accompagne de l’option Nightvision, système interne d’apprentissage intelligent et automatisé, capable de référencer en temps réel les nouvelles menaces et de suivre les évolutions de malwares existants. De la sorte, Avira est toujours en mesure de proposer une réponse instantanée et efficace aux cyberdangers les plus récents, sans intervention requise de la part de l’utilisateur.

Outre ses fonctions d’analyse et de blocage anti-malware, Avira embarque un module de réparation des fichiers infectés en amont de l’installation de l’antivirus. Les menaces préexistantes au déploiement de la sécurité Avira n’échappent donc pas à la protection offerte par la solution antivirale qui assainit votre ordinateur en profondeur. Cet assainissement s’accompagne par ailleurs d’options bienvenues comme un module de mise à jour des logiciels et des pilotes installés sur le système.

La sécurité des réseaux : un enjeu majeur pour Avira

Avira outrepasse enfin ses fonctions de bouclier antiviral traditionnel et se donne pour mission de protéger le réseau local. Dans cette optique, le logiciel profite de son scan intelligent pour analyser la qualité du réseau, détectant les failles et révélant les intrusions le cas échéant.

avira screen 2

Le web n’échappe pas non plus à la surveillance d’Avira. En plus de son application de bureau et outre les options de pare-feu configurables pour les connexions Wi-Fi et Ethernet, le programme ajoute gratuitement des extensions aux navigateurs Chrome , Opera et Firefox . Les sites vérolés et tentatives de hameçonnage (réseaux sociaux, emails ou toute autre plateforme de communication en ligne) sont ainsi bloqués, offrant aux internautes un environnement de navigation parfaitement sécurisé.

Article proposé et conçu par La Rédaction Clubic en partenariat avec Avira
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Bombing_Basta
Qu’est-ce qu’un malware de type wiper ?<br /> Un bon moyen pour nous faire peur ?<br />
Voir tous les messages sur le forum

Lectures liées

Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Une nouvelle arnaque bancaire par téléphone signalée par la DGCCRF
Ransomware : ce groupe de hackers russes est considéré comme le plus dangereux
Haut de page