Essuie-glace

Un wiper est un logiciel malveillant conçu pour détruire les données et rendre les systèmes inutilisables. Contrairement à d’autres logiciels malveillants qui peuvent voler ou crypter des données, les essuie-glaces visent à supprimer ou à corrompre définitivement les fichiers, les rendant irrécupérables. La cyberguerre et les auteurs de menace parrainés par des États utilisent souvent des essuie-glaces pour saboter des infrastructures critiques, perturber des opérations ou mener une guerre psychologique.

Caractéristiques

•Ciblées et préméditées : les attaques Wiper sont soigneusement planifiées, prennent souvent des mois à préparer et ciblent généralement des organisations ou des infrastructures spécifiques.

•Méthodes destructrices : les essuie-glaces détruisent les données en écrasant les fichiers par des zéros ou des données aléatoires ou en endommageant partiellement les documents, rendant les systèmes non fonctionnels.

•Impact à l’échelle du réseau : certains essuie-glaces sont conçus pour se propager sur les réseaux, affectant des appareils individuels et des réseaux organisationnels entiers.

•False Flags : les attaquants peuvent laisser de faux indicateurs pour induire les enquêteurs en erreur ou rejeter la faute sur d’autres entités.

•Motivations : les principales motivations derrière les attaques par effacement comprennent la destruction de preuves, la démonstration de pouvoir dans les conflits géopolitiques et l’ébranlement du moral des entités ciblées.

Exemples

•HermeticWiper: utilisé dans les attaques contre les organisations ukrainiennes, dans le cadre d’une campagne plus large pendant l’invasion russe.

•CaddyWiper: un autre essuie-glace déployé en Ukraine, ciblant diverses organisations.

•Industroyer2— Un essuie-glace sophistiqué ciblant les systèmes de contrôle industriels utilisés dans les attaques contre le réseau électrique ukrainien.

•(Pas)Petya—Un effaceur destructeur qui a touché l’Ukraine et s’est propagé dans le monde entier, initialement déguisé en ransomware.

•Destructeur olympique: utilisé par l’équipe Sandworm pour perturber les Jeux olympiques d’hiver de 2018 en Corée du Sud.

•Stuxnet– Bien qu’il soit principalement connu pour cibler les systèmes de contrôle industriel, il a causé d’importants dommages physiques aux centrifugeuses de l’installation nucléaire iranienne de Natanz, retardant son programme nucléaire.

•Shamoon– Utilisé en 2012 et 2016 contre les entreprises énergétiques saoudiennes, Shamoon a écrasé des fichiers avec des images symboliques.

Risque pour les petites et moyennes entreprises (PME)

Bien que les PMEne soient généralement pas les principales cibles des attaques d’effacement, elles peuvent être affectées en tant que dommages collatéraux ou par des attaques de la chaîne d’approvisionnement. Les fournisseurs de services gérés (MSP au service des grandes organisations peuvent également être ciblés pour accéder aux réseaux de leurs clients.

Détection et prévention

•Utilisez des logiciels de cybersécurité de haute qualité, tels que les solutions de sécurité ESET (produits ESET), pour détecter et bloquer les logiciels malveillants d’effacement.

•Mettez en place une surveillance constante du réseau pour identifier les activités inhabituelles.

•Bloquez l’accès non autorisé aux systèmes critiques.

•Mettez en place une stratégie de sauvegarde et de restauration efficace, en veillant à ce que les sauvegardes soient stockées hors ligne ou dans des environnements cloud sécurisés.

•Si un essuie-glace est détecté, arrêtez immédiatement les processus concernés et déconnectez le système du réseau s’il est sûr.

Action après l’infection

La récupération des données peut être impossible dans le cas d’une infection par effacement, car le logiciel malveillant est conçu pour rendre les données irrécupérables. Cependant, il est crucial d’isoler le système affecté et d’empêcher une nouvelle propagation. Il est souvent nécessaire de reconstruire le système à partir de sauvegardes propres.