Les ransomwares ont longtemps été considérés comme la forme la plus puissante de cyberattaque, car ils extorquent aux victimes des millions de dollars et harcèlent les entreprises ou les individus jusqu’à ce qu’ils paient. En fait, la cyberattaque la plus coûteuse de l’histoire a été celle d’un ransomware. NotPetya a coûté aux entreprises du monde entier une somme estimée à 10 milliards de dollars. Le géant du transport maritime Maersk a déclaré, au moment de l’attaque de 2017, qu’elle lui avait coûté jusqu’à 300 millions de dollars à elle seule.

Cependant, si vous pensez que le ransomware est la plus grande menace pour votre entreprise en 2023, c’est peut-être le moment d’y réfléchir à deux fois. Oui, les ransomwares peuvent avoir des implications catastrophiques, mais il y a au moins une lueur d’espoir : les fichiers cryptés peuvent être récupérés une fois qu’un compromis a été trouvé.
Ce n’est pas le cas des malwares qui ont gagné en popularité au cours des 12 derniers mois, les Wipers. Cette méthode d’attaque n’a qu’un seul objectif : provoquer un maximum de nuisances et de dégâts. Il s’agit d’une tendance inquiétante compte tenu de l’augmentation des cyberattaques commanditées par des États et de la militarisation d’outils légitimes à des fins malveillantes.

Faut-il en déduire la possibilité d’un changement de tactique de la part des acteurs malveillants, qui remplaceraient les ransomwares par des Wipers et, à mesure que les tensions géopolitiques augmentent, les groupes pourraient-ils se tourner vers ces mesures extrêmes pour atteindre les objectifs qu’ils se sont fixés ?

Qu’est-ce qu’un Wiper et pourquoi est-il si dangereux ?

D’apparence innocente, une vulgaire mise à jour logicielle pourrait bien être la charge utile d’un Wiper qui détruit de grandes quantités de données sensibles et qui met à genoux un gouvernement tout entier et son infrastructure. Autrefois considérée comme une méthode d’attaque dépassée et obsolète, elle a fait son grand retour en 2022.
Elle vise principalement à effacer toutes les données de l’utilisateur sur le périphérique ou le réseau ciblé, sans pouvoir les récupérer. Les Wipers sont couramment utilisés pour détruire les réseaux informatiques d’entreprises ou de gouvernements, de manière à masquer toute trace de violation et à affecter la capacité de leur victime à réagir à l’attaque.

Force est de constater que l’essor des Wipers a coïncidé avec l’invasion de l’Ukraine par la Russie. Certains éléments indiquent qu’il a été utilisé pour cibler les modems de communication par satellite de l’Ukraine

Certes, la destruction par Wiper n’est pas un phénomène nouveau. Mais ces derniers développements révèlent la sophistication croissante du codage qui en est à l’origine. Un rapport publié par Check Point Research en décembre 2022 fournit d’autres preuves de cette évolution. Le rapport se concentrait sur un wiper de données jusqu’alors inconnu, appelé Azov, que les experts de Check Point décrivaient comme « efficace, rapide et finalement irrécupérable. »
Contrairement à ses prédécesseurs, Azov est capable d’effacer des fichiers par blocs de 666 octets et de les remplacer par des données aléatoires. De plus, il laisse à la place un bloc de données identique. C’est ainsi qu’à la fin du mois de novembre 2022, plus de 17 000 exécutables rétroactifs avaient été signalés, preuve de l’adoption généralisée d’Azov dans le paysage des menaces.

La militarisation des outils légitimes et la menace des Wipers

À l’heure où les cybercriminels continuent de développer des méthodes d’attaque, on note une augmentation notable de l’utilisation d’outils légitimes à des fins malveillantes. Les solutions de cybersécurité actuelles sont devenues beaucoup plus sophistiquées, si bien qu’il est désormais plus difficile pour les malwares traditionnels d’être installés localement ou à distance. Les cybercriminels se sont donc tournés vers les outils grand public pour en faire leur terrain de jeu.
Il est beaucoup plus difficile de se défendre contre un ennemi déguisé que contre des menaces connues. Les outils légitimes séduisent en partie parce qu’ils peuvent échapper à la détection en appliquant des techniques malveillantes et en modifiant le code, de sorte que les solutions anti-malware ne se déclenchent pas lors d’une attaque.
Par exemple, en décembre 2020, le fournisseur de logiciels SolarWinds a été victime d’une attaque par ransomware, au cours de laquelle les pirates ont militarisé des outils légitimes. Plus de 18 000 employés travaillant dans des entreprises et des administrations ont été victimes de ce qu’ils croyaient être une véritable mise à jour logicielle. Des acteurs malveillants ont injecté un minuscule morceau de code dans l’écosystème SolarWinds et ont trompé les utilisateurs en leur faisant télécharger ce qu’ils croyaient être une banale actualisation de logiciel. Ce piratage, que les chercheurs ont surnommé Sunburst, a été décrit comme étant potentiellement la plus grande menace pour la sécurité des gouvernements occidentaux depuis la guerre froide.

Compte tenu de l’ampleur des dégâts causés par l’attaque, imaginez un scénario où les auteurs de l’attaque de SolarWinds auraient utilisé un wiper au lieu d’un ransomware. Les conséquences auraient été catastrophiques. La question qui se pose est la suivante : l’attaque servira-t-elle de modèle à l’avenir, d’autant plus que les cybercriminels délaissent les ransomwares motivés par l’appât du gain au profit d’objectifs politiques et sociaux ?

Les Wipers continueront-ils à sévir en 2023 ?

La réapparition des Wipers et la militarisation des outils légitimes confrontent les équipes de sécurité à de nouveaux défis en matière de détection, de protection, d’attribution et de cartographie du paysage cyber. Mais comment se préparer à faire face à un ennemi invisible et déterminé à causer un maximum de dégâts ? Le meilleur conseil est de mettre en place des mesures de sécurité qui bloquent une attaque avant qu’elle n’ait une chance de générer des perturbations ou des destructions. Dans ce cas, il est bien plus efficace de prévenir que de guérir une fois la maladie déclarée.