New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware
Mis à jour :
GigaWiper : Une menace multifonctionnelle destructive
Points clés
- Nature de la menace : GigaWiper (aussi identifié sous le nom de BLUERABBIT) est une porte dérobée (backdoor) modulaire développée en Go. Elle combine des capacités d’espionnage avancées et trois outils de destruction irréversibles.
- Mode opératoire : Contrairement à un ransomware classique, il n’y a aucune intention financière. Le logiciel utilise des outils de destruction (effacement de disque, écrasement de données ou faux ransomware sans clé de déchiffrement) pour rendre les systèmes inutilisables.
- Techniques d’évasion : Le malware se dissimule en se faisant passer pour le processus
OneDrive, utilise des tâches planifiées persistantes et exploite des services légitimes (RabbitMQ, Redis, MinIO) pour son trafic C2 (Command & Control), rendant son activité difficile à distinguer d’un usage professionnel. - Attribution : Des liens techniques (réutilisation de code, notamment le malware Crucio) suggèrent une origine liée à des groupes de cyber-acteurs iraniens.
Vulnérabilités
- Il ne s’agit pas d’une faille logicielle spécifique (CVE), mais d’un implant déployé une fois l’accès initial obtenu. La menace repose sur l’exploitation des privilèges système pour modifier des fichiers critiques (ex:
bootmgr,ntoskrnl.exe).
Recommandations
- Détection :
- Surveiller la présence d’une tâche planifiée nommée « OneDrive Update » s’exécutant chaque minute.
- Détecter tout trafic inhabituel vers des services comme RabbitMQ ou Redis provenant de postes de travail standards.
- Surveiller l’utilisation anormale des commandes
takeowneticaclssur les fichiers de démarrage de Windows.
- Défense :
- Maintenir des sauvegardes hors ligne (offline) intègres, car les données chiffrées ou effacées par GigaWiper sont irrécupérables.
- Activer les fonctionnalités de protection contre les falsifications (tamper protection) pour empêcher la désactivation de l’antivirus.
- Bloquer les adresses serveurs identifiées :
185.182.193[.]21et212.8.248[.]104. - Activer les solutions de détection et de réponse sur les terminaux (EDR) en mode blocage.
