Malware wiper : logiciel malveillant de type Wiper (essuie glaces) appelé ainsi car il efface toutes les données des ordinateurs de ses victimes.

Le malware wiper est sorti de l’ombre fin 2014 en jouant un rôle clé dans la cyber attaque dirigée contre Sony Entertainement.

Il est à lui seul une démonstration de notre cyber monde actuel. Notre cybermonde est obscure et trouble et il est difficile d’y faire la distinction entre cyberguerre, cyberterrorisme et cybercriminalité, les uns se recoupant souvent avec les autres…

Une frappe très politique doublée d’une arme économique

Dans un premier temps, l’utilisation de ce type de logiciels malveillants a été largement associée à des « hacktivistes » à motivation purement politique comme lors des printemps Arabe. La tendance fait qu’actuellement cet outil est utilisé de manière extrêmement bien ciblée par des agences d’état dans des visées politiques et/ou économiques.

Des modèles d’attaques variés de ce type de logiciel malveillant (malware wiper), ont été associées à des attaques ciblées dès 2008. En effet, dès cette année, un malware wiper appelé Narilam a été déployé et utilisé spécifiquement contre des logiciels financiers et commerciaux utilisés en Iran entraînant une paralysie économique.

En 2009 et 2010, une variante incluant les Wipers Dozer et Koredos a été déployés contre la Corée du Sud. En 2012, un paquet Wiper appelé Shamoon a été utilisé pour paralyser 30 000 ordinateurs chez le producteur Saoudien de pétrole Saudi Aramco, paquet ré-édité avec succès en début d’année 2017 (Shamoon 2) et visant la même cible….

En 2013, un paquet appelé Dark Seoul a de nouveau été déployé en Corée du Sud. L’attaque la plus connue via le Wiper Destover, celle contre Sony, a été associée à la Corée du Nord.

Tout recensement, en Juin 2017, c’est NotPetya qui s’en est pris à de nombreuses société dont BNP et Auchan en France, mais aussi à de grands groupes privés Russe et Ukrainiens (entre autre)

Tenir les données en otage

La sophistication des attaques ainsi que la portée des dommages causés varient considérablement. Il existe plusieurs variantes de logiciels malveillants de type Wiper.

Certains wiper lancent une attaque ponctuelle à une date spécifique et effacent les disques durs, tandis que d’autres corrompent graduellement les disques pendant une longue période. Période pendant laquelle ils communiquent avec un centre de commande et de contrôle à distance comme lors de la paralysie du développement du programme nucléaire civil Iranien.

Il est difficile d’analyser les logiciels malveillants de type Wiper car l’effacement des données commandé par le logiciel malveillant comprend l’élimination de l’image objet du malware lui-même. Plus rien ne reste visible!

Parce qu’un Wiper détruit les données au lieu de le voler, jusqu’à présent son utilisation a été principalement associée à des attaques à motivation politique, lancées par des hacktivistes idéologiques indépendants ou par des agents de l’intelligence de l’état. Cependant, les attaquants peuvent également utiliser la menace d’effacement de données ou d’exposition comme moyen d’extorsion. La portée de la menace d’un malware Wiper peut ainsi s’étendre de l’activité liée au renseignement à la cybercriminalité motivée par l’espoir de gain financier.

Se défendre contre les attaques Malware de type Wiper

Les Wipers peuvent-être extrêmement destructeurs et se contenter d’utiliser les tactiques purement défensives classiques est strictement insuffisant.

Les entreprises et autres organisations doivent donc prendre des mesures de sécurité proactives pour minimiser les risques liés aux logiciels malveillants de type Wiper.

Par exemple, la propriété intellectuelle cruciale devrait être isolée dans des systèmes endurcis auxquels on ne peut accéder qu’en faisant appel à des liens privilégiés. Les données importantes devraient être sauvegardées hors site et les organisations devraient instaurer et tester un plan d’intervention et de relance d’urgence.

En appliquant ces mesures, et en les accompagnant par une défense EDR comme i-Guard vous maximiserez la sécurité de vos données et ferez un grand pas dans l’acceptation de la norme Européenne GDPR.