Au moins six acteurs différents alignés en Russie ont lancé pas moins de 237 cyberattaques contre l'Ukraine du 23 février au 8 avril, dont 38 attaques destructrices discrètes qui ont irrévocablement détruit des dossiers dans des centaines de systèmes dans des dizaines d'organisations du pays.
"Collectivement, les actions cyber et cinétiques s'efforcent de perturber ou de dégrader les fonctions du gouvernement ukrainien et des fonctions militaires et saper la confiance du public dans ces mêmes institutions", a déclaré l'unité de sécurité numérique de la société (DSU) dans un rapport spécial.
Les principales familles de logiciels malveillants qui ont été exploitées pour une activité destructrice dans le cadre des assauts numériques implacables de la Russie comprennent: Whispergate, HermeticWiper (Foxblade aka Killdisk), Hermeticransom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, Desertblade, DoubleZero (Fiberlake) et Industryer2.
Whispergate, HermeticWiper, IssacWiper et CaddyWiper sont tous des essuie-glaces conçus pour écraser les données et rendre les machines non bootables, tandis que DoubleZero est un.Un logiciel malveillant net capable de suppression de données.Desertblade, également un essuyer de données, aurait été lancé contre une société de radiodiffusion anonyme en Ukraine le 1er mars.
Sonicvote, en revanche, est un chiffre de fichiers détecté en collaboration avec HermeticWiper pour déguiser les intrusions comme une attaque de ransomware, tandis que Industryer2 est spécifiquement conçu pour frapper les réseaux de technologie opérationnelle pour saboter la production et les processus industriels critiques.
Microsoft a attribué HermeticWiper, CaddyWiper et Industryer2 avec une confiance modérée à un acteur parrainé par l'État russe nommé Sandworm (alias Iridium).Les attaques de Whispergate ont été liées à un cluster auparavant inconnu surnommé Dev-0586, qui serait affilié au renseignement militaire du GRU de la Russie.
On estime que 32% du total des 38 attaques destructrices ont distingué les organisations gouvernementales ukrainiennes aux niveaux national, régional et de la ville, avec plus de 40% des attaques destinées aux organisations des secteurs d'infrastructure critique dans les nations.
En outre, Microsoft a déclaré avoir observé Nobelium, l'acteur de menace blâmé pour l'attaque de la chaîne d'approvisionnement de Solarwinds 2020, tentant de violer les entreprises informatiques au service des clients gouvernementaux dans les États membres de l'OTAN, en utilisant l'accès aux données Siphon des organisations de politique étrangère occidentale.
D'autres attaques malveillantes impliquent des campagnes de phishing ciblant les entités militaires (Fancy Bear alias Strontium) et les représentants du gouvernement (Primitive Bear aka Actinium) ainsi que le vol de données (Energetic Bear aka Bromine) et la reconnaissance (Venomous Bear aka Krypton).
"L'utilisation des cyberattaques par la Russie semble être fortement corrélée et parfois directement chronométrée avec ses opérations militaires cinétiques ciblant les services et les institutions cruciales pour les civils", a déclaré Tom Burt, vice-président de la sécurité et de la confiance des clients, a déclaré Tom Burt de la sécurité des clients.
"Étant donné que les acteurs de la menace russe ont reflété et augmenté les actions militaires, nous pensons que les cyberattaques continueront de dégénérer alors que le conflit fait rage.Il est probable que les attaques que nous avons observées ne sont qu'une fraction d'activité ciblant l'Ukraine."
"Le nombre de cyberattaques en Ukraine augmentera au cours des six prochains mois", a déclaré Kaspersky, la société de cybersie russe, dans sa propre analyse des offensives en Ukraine le mois dernier."Alors que la plupart des attaques actuelles sont de faible complexité - comme les DDO ou les attaques en utilisant des outils de base et de basse qualité - des attaques plus sophistiquées existent également, et d'autres devraient venir."
Found this article interesting? Follow THN on Facebook, Twitter and LinkedIn to read more exclusive content we post.
