Meteor Wiper Malware frappe les chemins de fer iraniens

Ces dernières années, nous avons assisté à un changement massif dans la façon dont les cybercriminels opèrent. Au lieu d'utiliser des logiciels malveillants destructeurs, ils se sont concentrés sur le développement de schémas d'extorsion complexes ou de logiciels malveillants de haute qualité qui volent les données sensibles de la victime. Bien que ces opérations soient très rentables, il existe encore des acteurs de la menace qui s'appuient sur le malware destructeur classique. L'un des implants populaires qui correspondent à cette catégorie sont les soi-disant « essuie-glaces ». Ils se comportent de la même manière que les ransomwares, mais il y a une différence majeure : ils suppriment les fichiers au lieu de les crypter. Naturellement, les criminels n'offrent pas d'option de récupération et ne demandent pas d'argent - leur objectif est d'être aussi destructeur que possible.

Meteor Wiper Malware entre en scène

En juillet, des experts en cybersécurité ont identifié un nouvel implant, qui correspond à la description ci-dessus : le Meteor Wiper Malware. Il a été utilisé dans une attaque à grande échelle contre l'agence ferroviaire iranienne. Bien que la « suppression de fichiers » puisse sembler une tâche simple, vous pouvez être assuré que les menaces telles que Meteor Wiper Malware ne sont pas du tout basiques. Ils effectuent généralement une longue liste de tâches pour s'assurer que leur exécution se passe parfaitement et que la victime n'aura pas le temps de réagir.

Dans le cas du logiciel malveillant Meteor Wiper, il semble que l'attaque puisse être motivée par des considérations politiques - cependant, l'allégeance politique ou l'origine des attaquants n'est pas encore claire. Au cours de l'attaque, les panneaux de messages du chemin de fer ont été spammés avec des messages demandant aux passagers d'appeler un téléphone spécifique pour plus de détails. Le téléphone, cependant, n'appartient pas au chemin de fer – l'appeler mettrait les passagers en contact avec le bureau du guide suprême Ali Khamenei.

L'attaque de Meteor Wiper Malware implique plusieurs étapes pour assurer une exécution sans faille. Le vecteur d'infection initial n'est pas clair. Une fois exécuté, l'essuie-glace utilise plusieurs composants pour effectuer l'attaque :

• Setup.bat – altère la stratégie de groupe Windows pour permettre de copier les exécutables malveillants sur d'autres systèmes sur le même réseau. Il vérifie également la présence d'un logiciel antivirus, désactive Windows Defender et déconnecte temporairement l'ordinateur d'Internet. Il efface également les journaux d'événements Windows et procède à l'exécution de trois fichiers.
• Env.exe ou msapp.exe – les deux fichiers servent un système identique, mais leurs noms diffèrent. Ceux-ci hébergent le composant d'essuie-glace, qui supprime les fichiers.
• Nti.exe - un casier MBR, qui remplace le MBR (Master Boot Record) pour empêcher le démarrage des PC.
• Mssetup.exe - un casier d'écran, qui affiche une image et un message à la victime.

En règle générale, les attaques destructrices comme celle menée par Meteor Wiper Malware sont destinées à transmettre un message. Cependant, les acteurs de la menace ne font rien de tel – ils n'ont pas d'exigences, ils ne citent pas leur motivation et ils laissent la victime dans l'ignorance. Nous devons encore voir si le Meteor Wiper Malware s'attaquera à une autre agence ou entreprise.