Skip to content
Cyber Breaches
Recherche
WiperRésolu

Attaque par effaceur WhisperGate

À la veille de l'invasion russe, un effaceur destructeur déguisé en rançongiciel a corrompu des secteurs d'amorçage maîtres et des fichiers dans des dizaines d'organisations gouvernementales, informatiques et associatives ukrainiennes, défigurant des sites officiels et annonçant la dimension cyber de la guerre à venir.

Victime
Organisations gouvernementales, informatiques et associatives ukrainiennes
SecteurGouvernementTechnologie
PaysUkraine
GroupeCadet Blizzard
Attaquants nommésGRU russe (Cadet Blizzard / DEV-0586)

Le 13 janvier 2022, six semaines avant l'invasion à grande échelle de la Russie, un logiciel malveillant destructeur appelé WhisperGate a frappé des dizaines d'organisations gouvernementales, informatiques et associatives ukrainiennes. Déguisé en rançongiciel mais conçu uniquement pour détruire, il est devenu l'une des premières salves cyber de la guerre.

Ce qui s'est passé

WhisperGate était un effaceur du secteur d'amorçage maître (MBR) en plusieurs étapes. La première étape écrasait le MBR des machines infectées avec une fausse note de rançon réclamant 10 000 $ en Bitcoin — mais le logiciel malveillant n'avait aucun mécanisme de récupération, faisant de la « rançon » une supercherie. Les étapes ultérieures, déployées depuis un lien CDN de Discord, téléchargeaient un corrupteur de fichiers qui recherchait 191 extensions de fichiers et en écrasait le contenu avec des données fixes, rendant documents et systèmes irrécupérables.

En parallèle, les attaquants ont défiguré environ 70 sites web gouvernementaux ukrainiens, dont ceux du Cabinet des ministres, du ministère des Affaires étrangères, du Trésor public et du portail d'administration en ligne Diia, affichant des messages menaçants enjoignant aux Ukrainiens d'« avoir peur et de s'attendre au pire ».

Impact

  • Des dizaines d'organisations ukrainiennes des secteurs gouvernemental, informatique et associatif ont vu leurs systèmes effacés ou corrompus.
  • Environ 70 sites web gouvernementaux ont été défigurés ou mis hors ligne dans l'opération coordonnée.
  • Comme WhisperGate se faisait passer pour un rançongiciel, le triage initial risquait de le mal classer ; en réalité, la reprise nécessitait des reconstructions complètes à partir de sauvegardes, et non un déchiffrement.

Attribution

Microsoft a d'abord suivi l'opération sous le nom de DEV-0586, plus tard nommée Cadet Blizzard. En juin 2023, le ministère américain de la Justice a inculpé des officiers du GRU russe (liés à l'unité 29155) et des civils complices pour la campagne WhisperGate, l'attribuant formellement au renseignement militaire russe. L'opération était distincte de — bien que contemporaine de — l'activité de Sandworm, reflétant plusieurs unités du GRU opérant contre l'Ukraine.

Pourquoi c'est important

WhisperGate a établi le scénario de l'effaceur déguisé en rançongiciel qui se reproduirait tout au long de l'invasion de 2022, notamment avec les frappes HermeticWiper et IsaacWiper quelques jours avant le franchissement de la frontière par les chars. Il a démontré que le cadrage en faux rançongiciel pouvait semer la confusion et retarder l'attribution tout en infligeant une destruction pure. En tant qu'avertissement précoce de logiciels malveillants destructeurs de niveau étatique, il a déclenché les recommandations « Shields Up » de la CISA et un réexamen mondial de la résilience face aux effaceurs, de l'intégrité des sauvegardes et des hypothèses de réponse aux incidents pour des organisations bien au-delà de l'Ukraine.

Chronologie

  1. Microsoft observe pour la première fois l'effaceur WhisperGate déployé contre des organisations ukrainiennes.

  2. Environ 70 sites web gouvernementaux ukrainiens, dont le Cabinet des ministres, le ministère des Affaires étrangères et le portail Diia, sont défigurés ou mis hors ligne.

  3. Microsoft divulgue publiquement le logiciel malveillant destructeur, suivant l'acteur sous le nom de DEV-0586.

  4. La Russie lance son invasion à grande échelle de l'Ukraine ; WhisperGate est rétrospectivement perçu comme une frappe annonciatrice.

  5. Le ministère américain de la Justice inculpe des officiers du GRU et relie WhisperGate à l'unité 29155 du GRU.

Sources

  1. recordedfuture.comhttps://www.recordedfuture.com/research/whispergate-malware-corrupts-computers-ukraine
  2. securityweek.comhttps://www.securityweek.com/microsoft-uncovers-destructive-malware-used-ukraine-cyberattacks/
  3. helpnetsecurity.comhttps://www.helpnetsecurity.com/2022/01/17/ukraine-wiper-malware/
  4. cfr.orghttps://www.cfr.org/cyber-operations/targeting-of-ukrainian-government-and-information-technology-it-sector-systems-with-whispergate-malware

Incidents liés

WiperContenu

Effaceur destructeur HomeLand Justice contre l'Albanie (Iran MOIS, 2022)

Le ministère iranien du renseignement et de la sécurité, opérant sous le nom de « HomeLand Justice », a passé 14 mois à se maintenir dans les réseaux du gouvernement albanais avant de lancer un chiffrement de fichiers de type rançongiciel et un maliciel d'effacement de disque. L'Albanie a suspendu les services publics en ligne et est devenue le premier pays de l'histoire à rompre ses relations diplomatiques avec un État à la suite d'une cyberattaque.

Victim
Gouvernement d'Albanie
WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victim
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Loss
$100.0M
WiperRésolu

Attaque par effaceur contre Kyivstar

Le groupe Sandworm, lié à la Russie, a détruit des milliers de serveurs virtuels et de postes de travail chez Kyivstar, le premier opérateur mobile ukrainien, privant de service quelque 24 millions d'abonnés et perturbant les alertes aériennes, la banque et les paiements lors de la plus dommageable cyberattaque contre les télécoms ukrainiens depuis l'invasion de 2022.

Victim
Kyivstar
Loss
$95.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B