Foire aux Questions sur le Ransomware Petya : ce que l’on sait, ce que l’on ne sait pas encore
Cette attaque porte-t-elle toujours le nom de Petya ?
Oui.
Microsoft Defender la détecte sous le nom de « Petya.A ».
« Nous avons vérifié : le code MBR d’une variante de Petya datant de décembre est très similaire au code MDR de cette nouvelle variante », explique Karmina Aquino, Service Lead chez F-Secure. « Il existe seulement quelques différences mineures. »
Le malware Petya est-il un ransomware ?
Petya est effectivement un ransomware.
Pourtant, Petya ne se contente pas seulement de chiffrer les fichiers pour les prendre en otage, comme les autres ransomware…
Petya vole les mots de passe car il en a besoin. Il s’agit donc également d’un ver réseau.
Microsoft explique que Petya est une « attaque de la chaîne d’approvisionnement » qui exploite les vulnérabilités déjà connues EternalBlue et EternalRomance découvertes par la NSA et publiées par le groupe de hackers Shadowbrokers en début d’année.
Un logiciel tiers sur l’ordinateur tire donc profit du processus de mise à jour du logiciel MEDoc. Les serveurs MEDoc sont peut-être alors infectés par une attaque de type « man-in-the-middle » mais il est bien trop tôt pour avoir une quelconque certitude ou même pour spéculer à ce sujet.
« Les incertitudes sont encore trop nombreuses », explique Sean Sullivan, Security Advisor chez F-Secure.
Petya est-il capable d’infecter tout le monde, y compris les particuliers, ou s’attaque-t-il simplement aux réseaux ?
« Selon nos analyses, Petya chiffre les fichiers même s’il n’est pas connecté à un réseau », explique Karmina. « Toutefois, si l’on se base sur l’un des vecteurs d’infection observés, et sur le type de victimes, il apparaît que Petya vise avant tout les entreprises, qui constituent d’ailleurs les principales cibles des anciennes variantes de Petya. »
Un État-nation se cache-t-il derrière Petya ?
« À l’heure actuelle, je ne parierais pas là-dessus », confie Sean.
Karmina ajoute : « Nous avons vérifié le code, et pour l’instant nous n’avons trouvé aucun indice qui indiquerait que l’objectif de ce malware diffère de celui d’un ransomware classique. »
Est-il toujours aussi probable que des « pros » soient derrière Petya ?
Certaines personnes affirment que le fait d’utiliser une boîte mail, qui a pu être fermée par l’hébergeur, montre qu’il s’agit d’un État-nation ou d’une bande d’amateurs. C’est mal connaître le fonctionnement des ransomware.
« Les cyber criminels veulent être payés », explique Sean. « Et pour ça, ils ne peuvent pas utiliser la télépathie ou les pigeons voyageurs. »
Comme l’a expliqué Sean sur Twitter, il existe seulement deux manières pour les criminels de percevoir la rançon du client : un email, ou un portail web. Petya utilise une adresse e-mail, comme la majorité des crypto-ransomware.
Lors de nos recherches sur les ransomware, nous avons été amenés à négocier avec eux et, la plupart du temps, ces échanges ont eu lieu par e-mail. Les pirates utilisant un portail web ne répondent même pas. Ceux utilisant un e-mail, à l’inverse, s’avèrent plutôt réactifs et plus professionnels que bien des entreprises d’édition de logiciels.
Existe-t-il un « kill switch » pour Petya, permettant de neutraliser le ransomware ?
Non, un kill switch constituerait une solution centralisée.
Même pour WannaCry, il ne s’agissait pas en soi d’un kill switch. Il s’agissait d’une fonction anti-émulation qui vérifiait ce qui était supposé être un domaine non-existant. Souvent, les malware disposent d’un « bullshit checker » leur permettant d’éviter les machines virtuelles. Un chercheur en cyber sécurité a trouvé le domaine « bullshit » qui signalait à WannaCry qu’il s’agissait d’une machine virtuelle, puis il l’a enregistré. Le checker refusait ensuite de laisser WannaCry s’exécuter.
Nous n’avons rien vu de tel avec Petya.
Existe-t-il un vaccin pour Petya ?
Les malware veillent souvent à éviter une double infection afin de ne pas se retrouver piégés dans une sorte de spirale et apparaître ainsi à découvert. Il existe de nombreuses techniques permettant aux malware d’éviter cela. Par ailleurs, nombre d’entre eux ne vous infecteront pas si vous utilisez un clavier en cyrillique ou des adresses IP russes.
En guise de vaccin, vous pouvez donc semer des marqueurs suggérant que vous êtes une machine virtuelle ou que vous êtes en Russie. Mais si ces tactiques deviennent trop communes, les menaces s’adapteront.
Pour Petya spécifiquement, il existe bien un vaccin, mais il ne vaut peut-être pas la peine que vous perdiez votre temps.
« Si vous avez le temps de recourir à un vaccin, sachez que vous pouvez faire mieux que de vous protéger contre un seul ransomware », explique Sean. « Exécutez Microsoft Updates, désinstallez tous les logiciels que vous n’utilisez pas, installez un gestionnaire de mots de passe, mettez à jour vos mots de passe… Ces manœuvres vous permettront de rester protégé contre de multiples ransomware. Commencez par les protections de base. »
L’adresse e-mail supposée procurer la clé de déchiffrement est-elle réellement hors-service ?
Oui, le Laboratoire F-Secure a vérifié et l’e-mail nous revient.
Victims keep sending money to Petya, but will not get their files back: No way to contact the attackers, as their email address was killed. pic.twitter.com/68vxThNIPM
— @mikko (@mikko) June 28, 2017
Le site internet de l’hébergeur Posteo explique être « en contact avec le Bureau fédéral pour la sécurité des techniques d’informations (Bundesamt für Sicherheit in der Informationstechnik) ».
Les entreprises peuvent-elle payer leur rançon ?
Pas actuellement. Les victimes sont effectivement dans l’impasse mais cet état n’est pas nécessairement permanent.
La désactivation de cette adresse e-mail ne signifie pas pour autant que le paiement soit impossible : les pirates disposent d’un accès backdoor au ransomware et peuvent mettre en place une autre technique de paiement.
« Les pirates pourraient créer un portail web » explique Sean. « Ou ils pourraient vendre la clé de déchiffrement à d’autres cyber criminels. »
Ou ils pourraient bien s’abstenir et passer à autre chose.
« Une telle attitude pourrait sembler cruelle vis-à-vis des victimes ou s’apparenter à un gâchis d’efforts et de ressources, mais avec les pirates, on ne peut jamais savoir », poursuit-il. « Mardi prochain, alors qu’une nouvelle vague de spams sera envoyée, ils pourraient être occupés à tout autre chose, qui leur rapporte plus d’argent encore. »
Existe-t-il un outil de déchiffrement créé par un expert en sécurité ?
Nous étudions actuellement la question.
F-Secure me protège-t-il contre Petya?
Oui, les produits de protection des postes de travail bloquent toutes les variantes de Petya.
Catégories