Dans la nuit du 14 janvier, le Service de sécurité d'Ukraine (SBU) indique que plus de 70 sites gouvernementaux ont été attaqués, et 10 d'entre eux ont fait l'objet d'une ingérence non autorisée. Selon le SBU, le contenu des sites n'a pas été modifié et il n'y a pas eu de fuite de données personnelles.

Cette cyberattaque a pris la forme de tentatives de défacement des sites, avec donc un succès pour une dizaine de sites. En russe, ukrainien et polonais, les sites affectés ont affiché un message avec un drapeau ukrainien barré et ayant pour accroche : " Ukrainiens ! Toutes vos données personnelles ont été envoyées sur un réseau public. "

Crédits : The Record

Le SBU évoque une attaque sur la chaîne d'approvisionnement via le piratage de l'infrastructure d'une société commerciale qui avait accès aux ressources web touchées avec des droits d'administration. " Nous pouvons dire que certains signes indiquent l'implication de groupes de hackers associés aux services spéciaux russes. "

Plus grave que du défacement

Pour Microsoft, c'est une opération de malware destructeur qui a visé plusieurs organisations en Ukraine. Avec l'apparence d'un ransomware mais sans mécanisme de récupération de rançon, un malware a été découvert sur des systèmes d'agences gouvernementales ukrainiennes, ainsi que des organisations qui travaillent avec le gouvernement ukrainien.

Baptisé WhisperGate, le malware est décrit comme un possible wiper (effaceur) du Master Boot Record (le premier secteur adressable d'un disque dur) avec une exécution une fois un appareil éteint. " L'écrasement du MBR est atypique pour les ransomwares de cybercriminels. […] Une note de ransomware est une ruse et le malware détruit le MBR et le contenu des fichiers qu'il cible ", écrit Microsoft.

En cas de restauration du MBR, le malware compromet certains fichiers. Des détails techniques et indicateurs de compromission sont publiés dans un billet de blog. Microsoft parle d'attaquants avec un nom de code temporaire DEV-0586, sans être en mesure pour le moment de faire un lien avec un groupe déjà connu.