Actualités

Russie-Ukraine : Conti, Liberland, TrickBot, TheRedBanditsRU, IsaacWiper… les évolutions et implications cyber-sécuritaires, le 1er Mars 2022 !

Les choses changent, les états restent… depuis le 24 Février 2022, l’actualité sécuritaire a naturellement été imprégnée par les conséquences du conflit opposant, pour l’heure, la Russie à l’Ukraine : condensé-express sur la situation cyber-sécuritaire, au 1er Mars 2022.

 

 

Un survol général est partagé par le compte – Twitter – CyberKnow avec un tableau (ci-dessus) permettant de voir, pour l’heure, les inclinaisons des différents cyber-groupes ou cyber-attaquants s’étant exprimés sur le sujet. Dans un autre billet, l’équipe indique qu’un “projet plus large” verra “bientôt” le jour pour mieux visualiser ou actualiser la donnée, sans doute depuis un site dédié.

 

Conti qui avait, dans un premier temps, affiché textuellement, le 25 Février dernier, un soutien en faveur de la Russie s’est, finalement, rétracté : “Nous ne sommes alliés avec aucun Gouvernement et nous condamnons la guerre actuelle. Pourtant, depuis que l’Ouest est connu pour diriger ses guerres en prenant pour cible en premier lieu des civils, nous tendrons à utiliser nos ressources dans le but de riposter si le bien-être et la sécurité de citoyens pacifiques est en jeu en raison de la cyber-agression américaine“, est-il, en partie, re-communiqué, le 27 Janvier 2022, par Conti.

 

  

(Source : _SaxX_ – Twitter)

 

Une post-publication survenue, semble t-il, trop tard puisqu’une fuite interne, peu de temps après le post originel, a été divulguée : elle intégrerait, selon le chercheur S. A. X. X., un total de 350 000 fichiers issus de leur serveur Jabber-XMPP avec bon nombre de ressources dont les conversations (2020-2022), le code-source des kits-outils, des captures-écrans (des systèmes des victimes). Leur analyse est en cours mais il serait question de modus operandi permettant d’en apprendre un peu plus sur les cyber-attaquants voire des éléments de preuve confirmant la mise à l’arrêt fonctionnelle du botnet TrickBot, selon TheRecord.

 

Par ailleurs, concernant Liberland, depuis le 1er Mars 2022, un communiqué officiel dément formellement la cyber-attaque de Tetraedr. Celle-ci avait été publiée sur DDoSecrets (qui soulignait déjà à l’époque la prudence extrême à appliquer quand à la véracité de ces informations : le site, encore une fois, n’étant que l’éditeur de contenu) par Anonymous Liberland et The Pwn-Bär Int. Hack. “La République du Liberland n’a connaissance d’aucune personne impliquée dans cette action et désavoue toute association avec celle-ci. A la guerre, personne ne gagne vraiment. Les coûts humains et économiques l’emportent toujours sur les avantages perçus de la guerre. Nous comprenons la tension et l’angoisse ressenties par le peuple ukrainien et ceux des régions touchées par les récentes hostilités. De nombreux citoyens et partisans du Liberland vivent en Ukraine et en Russie, certains vivant dans des zones de combat. Notre politique étrangère est basée sur une stricte neutralité et le principe de non-agression. Cela signifie la paix, la liberté de commercer et une amitié honnête avec toutes les nations“, est-il, en partie, communiqué officiellement.

Du côté des publications ou communiqués officiels des cyber-attaquants, ceux-ci, en toute transparence, continuent de fleurir : c’est notamment le cas pour l’équipe TheRedBanditsRU qui incline pour la Russie avec une nuance, en terme d’opinion sur la situation politico-miliaire actuelle : “Nous ne respectons pas Poutine en tant que leader de la Russie mais nous le respectons en tant que citoyen de Russie car nous soutenons chaque citoyen. Nous ne sommes pas d’accord avec ses actions non pacifiques contre Ukraine en tant qu’opération […] Nous sommes fermement aux côtés des citoyens de Ukraine et c’est pourquoi nous n’avons attaqué rien d’autre que le gouvernement. Nous n’avons pas non plus donné un pourcentage d’informations que nous avons contre l’Ukraine“, est-il précisé, le 1er Mars 2022.

Tout comme Liberland notamment, les cyber-membres de LockBit rappellent le principe de neutralité ou, du moins, de responsabiliser les ardeurs, en évitant de prendre part pour une partie ou une autre, au risque parfois d’envenimer la situation plutôt que de l’améliorer tout en rappelant l’unité ou l’humanité en tant que fondement : “Notre communauté est composée de nombreuses nationalités du monde, la plupart de nos pentesters sont originaires de la CEI, y compris des Russes et des Ukrainiens, mais nous avons aussi des Américains, des Anglais, des Chinois, des Français, des Arabes, des Juifs et bien d’autres dans notre équipe […] Nous ne participerons jamais, en aucune circonstance, à des cyber-attaques contre des infrastructures critiques de n’importe quel pays dans le monde ou ne nous engagerons dans aucun conflit international” est-il communiqué, en partie, depuis le 27 Février 2022.

 

Le mot sécuritaire de la fin aux équipes ESET : dans un papier technique publié au 1er Mars 2022, une évolution de HermeticWiper a fait son apparition. Nommée IsaacWiper, elle suit la cyber-attaque du 23 Février 2022 un jour après et incarne donc la second vague de cyber-attaque DDoS à ce niveau. Si des liens de corrélations entre les deux malwares restent à mettre en évidence, est-il bien expliqué, il a été observé, pour l’heure, une intrusion cyber-sécuritaire dans une entreprise ou entité qui n’était pourtant pas affecté ou impacté par HermeticWiper. Toujours ciblant essentiellement l’Ukraine (mais, là encore, pour l’heure, sans aucun lien palpable – voire mêmes de points communs, y compris avec HermeticRansom – avec HermeticWiper), IsaacWiper est connu, au moins, depuis le 19 Octobre 2021. Concernant l’Ukraine (puisqu’il a refait surface en ciblant ce pays, le 24 Février 2022), les chercheurs ne savent pas encore la méthode d’instillation virale (mouvement latéral, est-il estimé, via un RAT type RemCom), si ce n’est qu’il peut prendre place dans un DLL ou un fichier d’exécution sous Windows (sans signature Authenticode) et les chercheurs affirment qu’ils ne savent pas, avec les données télémétriques observées, quel autre pays pourrait être impacté. Concernant HermeticWiper, l’ensemble s’accompagne d’un ransomware, d’un wizard (certificat signé : Hermetica Digital Ltd) et de deux DLL (WMI + SMB)… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6