Les organisations publiques en Russie, y compris les municipalités et les tribunaux, sont ciblées par une variante complètement nouvelle et plutôt sournoise de malware.
CryWiper se fait passer pour un rançongiciel et tente d'extorquer un peu d'argent aux victimes (0,5 bitcoins, soit environ 9000 XNUMX dollars au moment de mettre sous presse), mais son but n'est pas d'être payé, mais de détruire tous les fichiers trouvés sur le terminal infecté.
Les chercheurs en cybersécurité de Kaspersky signalent des cyberattaques « uniques » en Russie, dans lesquelles les fichiers infectés reçoivent une nouvelle extension : .cry (d'où le nom CryWiper). Même si les médias locaux ont déclaré que les attaquants visaient les bureaux du maire et les tribunaux du pays, on ne sait pas exactement combien d'entités ils ont réussi à compromettre.
Des Russes ciblant des Russes ?
Ce que nous savons, c'est que le malware partage des traits communs avec deux autres souches de malware : Trojan-Ransom.Win32.Xorist et Trojan-Ransom.MSIL.Agent. Ils ont tous la même adresse e-mail indiquée dans la note de rançon. Xorist a été repéré pour la première fois en 2010 et est décrit comme une famille de rançongiciels Windows ciblant les utilisateurs russes et anglophones.
CryWiper a été écrit en C++, ce qui, selon Ars Technica, est un choix inhabituel et indique la possibilité que des pirates utilisent un appareil non Windows pour écrire le code.
Le même article affirme également que le malware est relativement similaire à IsaacWiper, un malware de nettoyage qui a récemment ciblé des entreprises basées en Ukraine. Apparemment, les deux essuie-glaces utilisent le même algorithme pour générer des nombres pseudo-aléatoires qui écrasent les données dans les fichiers, les corrompant de façon permanente.
Les attaquants utiliseraient l'algorithme Mersenne Vortex PRNG, qui est une autre caractéristique peu commune.
Les essuie-glaces font partie des variantes de logiciels malveillants les plus dangereuses, car leur seul objectif est d’« effacer » de manière permanente toutes les données de l’appareil cible. Pour se défendre contre de telles attaques, il est conseillé aux utilisateurs d'être prudents lors du téléchargement de pièces jointes et de s'assurer que leurs logiciels et leur matériel sont toujours à jour. Il est également conseillé de disposer de solutions de cybersécurité de pointe (ouvre dans un nouvel onglet).
Via : Ars Technica (Ouvre dans un nouvel onglet)