Numéro : AL22-001
Date : 17 janvier 2022
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Vue d’ensemble
Le Microsoft Threat Intelligence Center (MSTIC) a publié un blogue détaillant une campagne de maliciel qui cible de multiples organisations ukrainiennesNote de bas de page1.
Détails
Le 15 janvier 2022, le MSTIC a publié un blogue soulignant une campagne de maliciel qui cible des organisations ukrainiennes de différents secteurs. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté à cette publication le 16 janvier 2022Note de bas de page2 .
Le MSTIC indique que les premiers signes de cette campagne ont été décelés sur les systèmes des victimes en Ukraine le 13 janvier 2022. Les secteurs touchés incluent actuellement le gouvernement, les organisations sans but lucratif et le secteur des technologies de l’information. Il est aussi possible que plus d’organisations et de secteurs soient touchés au fur et à mesure que la situation évolue. Microsoft stipule que le MSTIC n’est pas en mesure d’évaluer l’intention des mesures destructives identifiées, mais croit que les mesures représentent un risque élevé pour les organismes du gouvernement, les organisations sans but lucratif ou les entreprises en Ukraine ou ayant des systèmes dans ce pays. Note de bas de page1
Le maliciel se présente comme un rançongiciel, puisqu’une demande de rançon est faite, mais il n’y a aucun mécanisme de récupération et les appareils ciblés sont inopérants après l’infection. Le maliciel écrase le contenu de l’enregistrement de démarrage principal, une petite partie du disque dur qui indique à l’ordinateur comment charger son système d’exploitation lorsque l’ordinateur est mis sous tension. De plus, le maliciel de deuxième stade télécharge et exécute le code malveillant conçu pour écraser les fichiers contenant des extensions de fichiers précises (voir le blogue du MSTIC Note de bas de page1 pour obtenir une liste des 189 extensions de fichiers, jusqu’à maintenant).
Le blogue du MSTIC propose également des indicateurs de compromission et d’autres mesures recommandées pour les exploitants et les propriétaires de systèmes qui sont responsables de défendre leurs systèmes et leurs réseaux contre les cybermenaces. Microsoft recommande de surveiller son blogue puisqu’il sera mis à jour si la situation évolue.
On invite les destinataires à signaler les incidents par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.