mars 6, 2017
StoneDrill : Nous avons découvert un nouveau malware puissant nettoyeur de disque dur, et c’est du sérieux.
Si vous êtes un lecteur régulier de mon blog, vous connaîtrez sûrement notre Équipe internationale de recherche et d’analyse (GReAT), 40 excellents experts éparpillés à travers le monde, spécialisés dans la protection de nos clients contre les cybermenaces les plus sophistiquées. Ces experts aiment comparer leur travail à de la paléontologie : en explorant le web dans ses moindres recoins, à l’affût des « os » des « cybermonstres ». Certains pourraient considérer cela comme une approche désuète : qui y’a-t-il d’aussi spécial à propos de l’analyse des os des « créatures » découlant d’un passé lointain lorsque la protection de vos réseaux contre les monstres qui sont vivants s’avère être une clé ? Eh bien, voici une récente histoire qui prouve que parfois vous ne trouverez pas les monstres vivants d’aujourd’hui sans vous pencher sur les anciens….
Certains d’entre vous sauront ce que sont les soi-disant nettoyeurs de disque dur, un type de malware qui, une fois installé sur un PC infecté, efface complétement toutes les données, nettoyant entièrement les données de l’ordinateur de l’utilisateur, en n’épargnant aucune pièce du hardware. Le nettoyeur de disque dur le plus connu (et horrible) est Shamoon, un malware qui a beaucoup fait parler de lui au Moyen Orient en détruisant des données sur plus de 30 000 appareils de la plus grande compagnie pétrolière au monde, Saudi Aramco, et en frappant également un autre géant énergétique, Rasgas. Imaginez : + de 30 000 pièces d’hardware inexploitables dans la plus grande compagnie pétrolière au monde…
Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. Ces nettoyeurs de disque dur se répandent à travers le monde
Curieusement, depuis sa campagne dévastatrice contre l’entreprise saoudienne, en 2012, on a peu entendu parler de Shamoon, jusqu’à qu’il fasse son retour en 2016 comme étant Shamoon 2.0, avec plusieurs nouvelles vagues d’attaques, une fois de plus au Moyen-Orient.
Depuis que les nouvelles vagues des attaques de Shamoon ont commencé, nous avons réglé nos capteurs afin de découvrir le plus de versions de malwares possibles (parce que, soyons réalistes, nous voulons qu’AUCUN de nos clients ne soit victime d’un malware tel que Shamoon, jamais). Et nous avons réussi à trouver plusieurs versions, hourra ! Mais ensemble et contre toute attente, nous avons pris dans nos filets un type de malware nettoyeur de disque dur complètement nouveau, que nous avons appelé StoneDrill.
La base du code de StoneDrill est différente de celle de Shamoon, et c’est la raison pour laquelle nous pensons qu’il s’agit d’une famille de malware complétement différente, elle utilise aussi certaines techniques de prévention et de détection avancées, ce que Shamoon ne fait pas. Il s’agit donc d’un nouvel acteur, cela ne fait aucun doute. Et un des éléments les plus inhabituels (et inquiétants) que nous avons appris au sujet de ce malware est qu’à la différence de Shamoon, StoneDrill ne limite pas le champ de ses victimes à l’Arabie Saoudite ou à d’autres pays voisins. Jusqu’à présent, nous n’avons trouvé deux cibles de ce malware, dont l’une d’entre elles est basée en Europe.
Pourquoi cela est-il préoccupant ? Parce que cette découverte indique que certains acteurs malveillants armés de cyber outils dévastateurs tâtent le terrain dans des régions où auparavant des acteurs de ce type étaient rarement intéressés.