Qu’est-ce qu’un malware de type wiper ?

IsaacWiper, HermeticWiper, CaddyWiper : la guerre en Ukraine a récemment rappelé au monde de la sécurité informatique l’existence des wipers. Un type de malware destructif, au mode opératoire d’autant plus complexe à analyser que le virus s’écrase lui-même, en même temps que les données qu’il efface.

Une arme politico-économique redoutable

Avec le wiper, le ransomware a trouvé son maître. Alors que le second se contente de chiffrer les données d’un système informatique et d’exiger une rançon en échange de leur restitution, le premier les supprime sans aucune possibilité de récupération, endommageant au passage les systèmes d’exploitation infectés. Cette notion d’irréversibilité en fait une cybermenace à prendre très au sérieux.

Si les wipers occupent aujourd’hui le devant de la scène dans le domaine de la cybersécurité , c’est parce que trois d’entre eux ont été repérés en Ukraine en l’espace de quelques jours seulement.

Le premier, HermecticWiper , signé par un certificat DigiCert (révoqué depuis), a ciblé plusieurs organisations ukrainiennes le 23 février 2022, quelques heures avant l’invasion militaire russe. D’un point de vue technique, le malware se composait en réalité de trois éléments : le wiper lui-même (HermeticWiper), pour détruire les données, un ver informatique (HermeticWizard), pour propager virus sur le réseau local infecté via WMI et SMB, et un ransomware leurre (HermeticRansom), pour faire diversion. Des traces de mouvement latéral au sein du réseau (Network Lateral Movement) laissent penser que les pirates ont pu prendre le contrôle d’un serveur Active Directory pour déployer le virus.

Le 24 février, un second wiper baptisé IsaacWiper (non signé) s’est attaqué au réseau du gouvernement ukrainien par le biais de RemCom (outil d’accès à distance). Impacket a possiblement été utilisé pour permettre les mouvements au sein du réseau.

Enfin, le 14 mars, un troisième wiper nommé CaddyWiper (non signé) s’est attaqué à un nombre limité d’organisations ukrainiennes.

Dans les trois cas, données utilisateur et informations de partitions des systèmes Windows infectés ont définitivement été détruites par écrasement des fichiers. Une logique d’éradication que les wipers s’appliquent à eux-mêmes puisqu’ils s’autodétruisent également au cours de l’attaque. Par conséquent, toute analyse du virus (code source, logs, identification des pirates) se révèle très difficile à réaliser une fois les dommages constatés.

Des précédents à la renommée mondiale

Impressionnantes et inquiétantes, les attaques informatiques récemment essuyées par l’Ukraine ne sont pas les premières de ce type à avoir tenté de paralyser des appareils et organisations officielles. Parmi les plus remarquables, d’aucuns se souviendront de NotPetya, variant de Petya dont le code avait été modifié pour créer un wiper déguisé en ransomware.

Révélé en juin 2017, le virus s’est propagé dans le monde comme une traînée de poudre, touchant simultanément des banques, grandes entreprises, services publics, filières énergétiques, laboratoires pharmaceutiques et centrale nucléaire de Tchernobyl. La France n’a elle-même pas été épargnée, NotPetya ayant partiellement touché des entreprises comme Auchan ou la SNCF, et plus durement encore Saint-Gobain dont les pertes ont été chiffrées à plus de 380 millions de dollars. Le coût total de la cyberattaque a été estimé à plus de 10 milliards de dollars par l’ancien conseiller de la sécurité intérieure de la Maison-Blanche, Tom Bossert.

Plus localisées, mais toujours dans l’optique de créer des dégâts politiques et économiques, les cyberattaques menées par Lazarus en 2013 ont par deux fois créé le chaos en Corée du Sud en l’espace de quelques mois, effaçant les données et informations de partitions de dizaines de milliers d’ordinateurs d’entreprises bancaires et médiatiques, ainsi que des institutions officielles. Un an plus tard, le groupe nord-coréen récidivait chez Sony Pictures, mettant notamment hors service une grande partie de l’infrastructure PC de l’entreprise.

On rappellera enfin les dégâts occasionnés par Shamoon , responsable de l’infection de 30 000 ordinateurs de la Saudi Aramco en 2012. Paralysée, la société pétrolière a mis plus d’une semaine à contenir l’attaque et réparer les systèmes touchés.

Des risques de dommages collatéraux pour les particuliers

Au regard des revendications politiques et économiques sous-jacentes aux attaques par wipers, la plupart des victimes se sont donc révélés être des gouvernements, des grandes entreprises et des organisations médiatiques. Néanmoins, ces types d’attaques virulentes menacent également les particuliers.

En utilisant les outils de partage Windows et en exploitant des vulnérabilités non patchées, les wipers sévissent sur l’ensemble du réseau local. Il suffit alors à un particulier de se connecter à son réseau d’entreprise infecté pour que son PC Windows soit contaminé à son tour et que ses données soient détruites par réécriture du MBR (Master Boot Record).

On sait également que certains wipers se servent du téléchargement frauduleux comme moyen de diffusion. Les hackers à l’origine de NotPetya, par exemple, avaient piraté la page d’accueil du site web de la ville ukrainienne Bakhmut pour déclencher le téléchargement automatique d’une fausse mise à jour Windows. Dans un cas tel que celui-ci, il suffit à l’internaute de cliquer sur l’exécutable vérolé pour amorcer le processus d’infection de la machine, suivi de celui du réseau local et de l’ensemble des appareils Windows connectés à ce même réseau.

Que faire en cas d’infection par un wiper ?

Dans la mesure où les wipers attaquent le système au démarrage de la machine par écrasement du MBR, il n’existe aucun moyen de s’en débarrasser sans dégâts une fois le PC infecté. En revanche, on peut tenter de contenir le malware et empêcher sa propagation à d’autres appareils en déconnectant et en isolant immédiatement l’ordinateur ou le serveur vérolé du réseau local.

À ce jour, le seul moyen d’assainir un PC endommagé par un wiper consiste à réinstaller le système d’exploitation à partir d’une copie physique de Windows .

Comment s’en préserver ?

Face au caractère destructeur des wipers, la seule chose à faire pour espérer retrouver ses données en cas d’attaque reste de prendre ses précautions en amont d’une potentielle infection.

Parmi les actions préventives à mettre en place, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande d’effectuer des sauvegardes régulières de ses fichiers et applications critiques sur des supports de stockage froids (disques durs, bandes magnétiques) déconnectés de la machine et du réseau local.

Il est également indispensable de ne jamais cliquer sur des liens, pièces jointes, téléchargements douteux.

On rappelle l’importance de mettre à jour Windows dès qu’une nouvelle version (mineure ou majeure) se présente. Il en va de même pour l’ensemble des logiciels installés sur le système, en particulier les navigateurs, les pare-feu et les antivirus.

Il est enfin nécessaire de sécuriser son ordinateur à l’aide d’un antivirus à la maintenance active, dont les bases de données virales sont très régulièrement et automatiquement actualisées pour garantir la protection de l’appareil en temps réel.

Avira, l’antivirus gratuit qui ne transige pas avec la sécurité des PC

Facile à installer, à configurer et à utiliser, Avira Free Antivirus protège les systèmes Windows (versions 7 et ultérieures) contre différentes cybermenaces : virus, chevaux de Troie, ransomwares et vers, dont les wipers. Une couverture exhaustive rendue possible par un arsenal de technologies déployées par l’éditeur, en local et en ligne.

Fonctionnalité essentielle, le scanner antivirus d’Avira analyse le système ainsi que l’ensemble des fichiers que vous téléchargez de manière à détecter et bloquer tous les logiciels malveillants avant qu’ils n’infectent votre ordinateur. Cet outil s’accompagne de l’option Nightvision, système interne d’apprentissage intelligent et automatisé, capable de référencer en temps réel les nouvelles menaces et de suivre les évolutions de malwares existants. De la sorte, Avira est toujours en mesure de proposer une réponse instantanée et efficace aux cyberdangers les plus récents, sans intervention requise de la part de l’utilisateur.

Outre ses fonctions d’analyse et de blocage anti-malware, Avira embarque un module de réparation des fichiers infectés en amont de l’installation de l’antivirus. Les menaces préexistantes au déploiement de la sécurité Avira n’échappent donc pas à la protection offerte par la solution antivirale qui assainit votre ordinateur en profondeur. Cet assainissement s’accompagne par ailleurs d’options bienvenues comme un module de mise à jour des logiciels et des pilotes installés sur le système.

La sécurité des réseaux : un enjeu majeur pour Avira

Avira outrepasse enfin ses fonctions de bouclier antiviral traditionnel et se donne pour mission de protéger le réseau local. Dans cette optique, le logiciel profite de son scan intelligent pour analyser la qualité du réseau, détectant les failles et révélant les intrusions le cas échéant.

Le web n’échappe pas non plus à la surveillance d’Avira. En plus de son application de bureau et outre les options de pare-feu configurables pour les connexions Wi-Fi et Ethernet, le programme ajoute gratuitement des extensions aux navigateurs Chrome , Opera et Firefox . Les sites vérolés et tentatives de hameçonnage (réseaux sociaux, emails ou toute autre plateforme de communication en ligne) sont ainsi bloqués, offrant aux internautes un environnement de navigation parfaitement sécurisé.