Sélection de la langue

Recherche

Alerte - Maliciel Wiper ciblant des organisations ukrainiennes

Numéro : AL22-001
Date : 17 janvier 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Vue d’ensemble

Le Microsoft Threat Intelligence Center (MSTIC) a publié un blogue détaillant une campagne de maliciel qui cible de multiples organisations ukrainiennesNote de bas de page1.

Détails

Le 15 janvier 2022, le MSTIC a publié un blogue soulignant une campagne de maliciel qui cible des organisations ukrainiennes de différents secteurs. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté à cette publication le 16 janvier 2022Note de bas de page2 .

Le MSTIC indique que les premiers signes de cette campagne ont été décelés sur les systèmes des victimes en Ukraine le 13 janvier 2022. Les secteurs touchés incluent actuellement le gouvernement, les organisations sans but lucratif et le secteur des technologies de l’information. Il est aussi possible que plus d’organisations et de secteurs soient touchés au fur et à mesure que la situation évolue. Microsoft stipule que le MSTIC n’est pas en mesure d’évaluer l’intention des mesures destructives identifiées, mais croit que les mesures représentent un risque élevé pour les organismes du gouvernement, les organisations sans but lucratif ou les entreprises en Ukraine ou ayant des systèmes dans ce pays. Note de bas de page1

Le maliciel se présente comme un rançongiciel, puisqu’une demande de rançon est faite, mais il n’y a aucun mécanisme de récupération et les appareils ciblés sont inopérants après l’infection. Le maliciel écrase le contenu de l’enregistrement de démarrage principal, une petite partie du disque dur qui indique à l’ordinateur comment charger son système d’exploitation lorsque l’ordinateur est mis sous tension. De plus, le maliciel de deuxième stade télécharge et exécute le code malveillant conçu pour écraser les fichiers contenant des extensions de fichiers précises (voir le blogue du MSTIC Note de bas de page1 pour obtenir une liste des 189 extensions de fichiers, jusqu’à maintenant).

Le blogue du MSTIC propose également des indicateurs de compromission et d’autres mesures recommandées pour les exploitants et les propriétaires de systèmes qui sont responsables de défendre leurs systèmes et leurs réseaux contre les cybermenaces. Microsoft recommande de surveiller son blogue puisqu’il sera mis à jour si la situation évolue.

On invite les destinataires à signaler les incidents par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :