Numéro : AL22-002
Date : 24 février 2022
Mise à jour : 25 février 2022
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Vue d’ensemble
Le 23 février 2022, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a été informé d’un nouveau maliciel perturbateur, appelé HermeticWiper, ciblant des organisations ukrainiennes Note de bas de page1.
La présente alerte est publiée pour prévenir les destinataires et communiquer les indicateurs de source ouverte associés à ces activités.
Détails
Le 23 février 2022, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a été informé d’un nouveau maliciel perturbateur, appelé HermeticWiper, ciblant des organisations ukrainiennes Note de bas de page1.
HermeticWiper exploite un pilote inoffensif pour corrompre l’enregistrement de démarrage principal de chacun des lecteurs physiques et de chacune des partitions de lecteur afin de rendre le système de la victime inopérable après l’arrêt de la machine. HermeticWiper modifie également plusieurs clés de registre pour désactiver les vidages sur incident du système.
Le maliciel a des fonctionnalités supplémentaires qui font l’objet d’enquêtes.
Le blogue de SentinelLabs Note de bas de page1 propose des indicateurs de compromission pour les exploitants et les propriétaires de systèmes qui sont responsables de défendre leurs systèmes et leurs réseaux contre les cybermenaces. Comme il n’a pas vérifié les détails techniques mentionnés dans le blogue en question, le Centre pour la cybersécurité fournit la présente information telle quelle à des fins de sensibilisation et de prise de mesures potentielles. Il est important de vérifier les services d’entreprise et les environnements en réseau avant de mettre en œuvre des mécanismes de blocage fondés sur ces indicateurs. Le Centre pour la cybersécurité décline toute responsabilité pour les conséquences découlant de l’utilisation de l’information fournie dans la présente.
Le Centre pour la cybersécurité communique cette information par excès de prudence. Pour l’heure, rien n’indique au Centre pour la cybersécurité que des activités sont menées au Canada. Si le Centre pour la cybersécurité reçoit plus d’information à ce sujet, il fournira cette information dans une mise à jour ou une publication additionnelle.
On invite les destinataires à signaler les incidents par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.
Mise à jour 1
En plus de SentinelLabs Note de bas de page1, plusieurs fournisseurs de sécurité ont publié des articles détaillant le maliciel HermeticWiper, nommé selon le certificat numérique, et les indicateurs de compromission qui y sont associés.
ESET a publié un sommaire des activités liées à la perturbation et a fourni les codes de hachage pour les rapports de Symantec et de SentinelLabs Note de bas de page 2.
Zscalar a publié un article détaillé offrant une analyse technique de l’infrastructure des auteurs de menace, du maliciel HermeticWiper et d’autres maliciels connexes Note de bas de page 3. Zscalar offre également des détails, dont les indicateurs de compromission, liés aux campagnes ciblées contre les entités commerciales et publiques en Ukraine.
Symantec a publié un article offrant plusieurs indicateurs de compromission supplémentaires et les secteurs économiques ciblés par ce maliciel Note de bas de page 4. Symantec a découvert des signes que des activités malveillantes connexes avaient commencé dès le début novembre 2021. Un rançongiciel pourrait également avoir été déployé pour cibler les victimes au même moment que HermeticWiper.