Le ransomware NotPetya, que l’on ne présente plus, et Industroyer, le tout premier malware capable de frapper directement les systèmes industriels, seraient dus au même groupe de cybercriminels.
Bratislava, Slovaquie – 16 octobre 2018 – ESET, leader de la recherche cybersécurité en Europe et l’un des principaux fournisseurs européen de solutions de protection du poste de travail, a découvert des liens probants entre le groupe de cybercriminels TeleBots et Industroyer, le malware le plus puissant à cibler aujourd’hui les systèmes industriels, exploité notamment dans le cadre du blackout électrique qui a frappé Kiev, la capitale de l’Ukraine, en 2016.
Le groupe TeleBots est également à l’origine de NotPetya, le malware destructeur de disques durs qui a largement perturbé les opérations des grandes entreprises à travers le monde en 2017. Et il est aussi lié à BlackEnergy, un autre code malveillant utilisé dans le cadre du tout premier cyberblackout électrique en Ukraine, en 2015 (un an avant celui causé par Industroyer, toujours en Ukraine)
« Les spéculations concernant des liens éventuels entre Industroyer et TeleBots sont apparues juste après qu’Industroyer ait frappé le réseau électrique ukrainien », explique Anton Cherepanov, le chercheur responsable des analyses de Industroyer et NotPetya chez ESET. « Cependant il n’y avait pas de preuves publiques… jusqu’à aujourd’hui ! », poursuit le chercheur.
En avril 2018, ESET a observé le groupe TeleBots se remettre au travail en déployant une nouvelle backdoor baptisée « Exaramel ». Et l’analyse d’ESET indique qu’il s’agirait d’une version améliorée de celle qui était intégrée initialement à Industroyer. Autrement dit, il s’agit de la première indication permettant d’associer Industroyer à TeleBots.
« La découverte d’Exaramel montre que le groupe TeleBots est toujours actif en 2018 et qu’il continue d’améliorer ses outils et ses tactiques », conclue Anton Cherepanov.
Pour en savoir plus sur les preuves reliant Industroyer et TeleBots, référez-vous à notre billet sur le blog ESET WeLiveSecurity.
Note à l’attention des rédacteurs : lorsque les chercheurs ESET analysent des cyberattaques et traquent des cybercriminels, ils s’appuient pour cela uniquement sur des indicateurs techniques tels que des similitudes au sein du code source, des infrastructures de Command & Control communes ou encore des chaines d’exécution de malwares identiques. Mais ESET n’étant pas présent sur le terrain, que ce soit dans le cadre d’opérations de police ou de renseignement, nous ne suggérons aucune responsabilité étatique éventuelle dans ces attaques.
CONTACT PRESSE
Darina Santamaria
Téléphone :+33 01 86 27 00 39 – 06 61 08 42 45
darina.j@eset-nod32.fr