Les chercheurs disent avoir découvert des logiciels malveillants d’effacement de disque inédits qui se déguisent en ransomware alors qu’ils déclenchent des attaques destructrices contre des cibles israéliennes.
Apostle, comme les chercheurs de la société de sécurité SentinelOne appellent le malware, a été initialement déployé pour tenter d’effacer les données mais n’a pas réussi à le faire, probablement à cause d’une faille logique dans son code. Le nom interne que ses développeurs lui ont donné était « action d’essuie-glace ». Dans une version ultérieure, le bogue a été corrigé et le malware a acquis des comportements de ransomware à part entière, y compris la possibilité de laisser des notes exigeant que les victimes paient une rançon en échange d’une clé de déchiffrement.
Une ligne claire
Dans un article publié mardi, les chercheurs de SentinelOne ont déclaré avoir évalué avec une grande confiance que, sur la base du code et des serveurs auxquels Apostle avait signalé, le logiciel malveillant était utilisé par un groupe récemment découvert ayant des liens avec le gouvernement iranien. Alors qu’une note de ransomware récupérée par les chercheurs suggérait qu’Apostle avait été utilisé contre une installation critique aux Émirats arabes unis, la cible principale était Israël.
“L’utilisation d’un ransomware en tant qu’outil perturbateur est généralement difficile à prouver, car il est difficile de déterminer les intentions d’un acteur malveillant”, a déclaré le rapport de mardi. « L’analyse du malware Apostle fournit un aperçu rare de ces types d’attaques, en traçant une ligne claire entre ce qui a commencé comme un malware d’essuie-glace à un ransomware pleinement opérationnel. »
Les chercheurs ont surnommé le nouveau groupe de piratage Agrius. SentinelOne a vu le groupe utiliser pour la première fois Apostle comme essuie-glace de disque, bien qu’une faille dans le logiciel malveillant l’ait empêché de le faire, probablement à cause d’une erreur logique dans son code. Agrius s’est ensuite rabattu sur Deadwood, un essuie-glace qui avait déjà été utilisé contre une cible en Arabie saoudite en 2019.
La nouvelle version d’Apostle par Agrius est un ransomware à part entière.
« Nous pensons que la mise en œuvre de la fonctionnalité de cryptage est là pour masquer son intention réelle – détruire les données des victimes », a déclaré le message de mardi. “Cette thèse est soutenue par une première version d’Apostle que les attaquants ont nommé en interne” essuie-glace “. “
Apostle a un chevauchement de code majeur avec une porte dérobée, appelée IPSec Helper, qu’Agius utilise également. IPSec Helper reçoit une multitude de commandes, telles que le téléchargement et l’exécution d’un fichier exécutable, qui sont émises par le serveur de contrôle de l’attaquant. Apostle et IPSec Helper sont tous deux écrits dans le langage .Net.
Agrius utilise également des webshells pour que les attaquants puissent se déplacer latéralement à l’intérieur d’un réseau compromis. Pour dissimuler leurs adresses IP, les membres utilisent le ProtonVPN.
Une affinité pour les essuie-glaces
Les pirates informatiques parrainés par l’Iran avaient déjà une affinité pour les essuie-glaces de disque. En 2012, les logiciels malveillants auto-réplicables ont ravagé le réseau de Saudi Aramco, le plus grand exportateur mondial de brut, basé en Arabie saoudite, et ont détruit définitivement les disques durs de plus de 30 000 postes de travail. Les chercheurs ont plus tard identifié le ver d’essuie-glace comme étant Shamoon et ont déclaré que c’était l’œuvre de l’Iran.
En 2016, Shamoon est réapparu dans une campagne qui a frappé plusieurs organisations en Arabie saoudite, dont plusieurs agences gouvernementales. Trois ans plus tard, les chercheurs ont découvert un nouvel essuie-glace iranien appelé ZeroCleare.
Apostle n’est pas le premier essuie-glace à être déguisé en ransomware. NotPetya, le ver qui a infligé des milliards de dollars de dégâts dans le monde, s’est également fait passer pour un ransomware jusqu’à ce que les chercheurs déterminent qu’il a été créé par des pirates informatiques soutenus par le gouvernement russe pour déstabiliser l’Ukraine.
Juan Andres Guerrero-Saade, chercheur principal sur les menaces de SentinelOne, a déclaré dans une interview que des logiciels malveillants comme Apostle illustraient l’interaction qui se produit souvent entre les cybercriminels à motivation financière et les pirates informatiques des États-nations.
“L’écosystème des menaces continue d’évoluer, les attaquants développant différentes techniques pour atteindre leurs objectifs”, a-t-il déclaré. «Nous voyons des gangs de cybercriminels apprendre des groupes d’États-nations les mieux dotés en ressources. De même, les groupes d’États-nations empruntent à des gangs criminels, masquant leurs attaques perturbatrices sous le couvert de rançongiciels sans indiquer si les victimes récupéreront en fait leurs fichiers en échange d’une rançon.
![Nature Haru, soupçonné de travailler dans un établissement de divertissement japonais… “Je ne peux pas encore vous dire ce que je veux dire, s’il vous plaît, attendez.” [MD이슈]](https://mydaily.co.kr/photos/2024/04/26/2024042617451063126_l.jpg)
