L’attaque Ransomware Petya… cette fois, des pros !
Une famille de ransomware particulièrement redoutable fait actuellement des ravages aux quatre coins du globe. Des similarités avec l’attaque WannaCry du mois dernier sont régulièrement évoquées mais les chercheurs en sécurité insistent également sur le fait qu’il s’agit d’une opération bien plus travaillée, plus professionnelle, et potentiellement nettement plus dommageable pour les entreprises qui en sont victimes…
Le Laboratoire F-Secure a confirmé que le ransomware utilisé cette fois appartient bien à la famille Petya. Il se comporte comme un ver, et se répand en exploitant la même vulnérabilité SMB que WannaCry, via le recours à l’exploit EternalBlue développé par la NSA.
Dans un post publié en 2016, Jarkko, membre du Laboratoire F-Secure, décrivait Petya comme un ransomware à la stratégie diabolique. Plutôt que de chiffrer les fichiers, il verrouille le disque tout entier, le rendant inutilisable.
Les victimes malheureuses de Petya ont probablement été confrontées à ceci :
Le vecteur d’infection de cette campagne est encore méconnu mais les conséquences n’en sont pas moins dramatiques.
La plupart des familles de crypto-ransomware ciblent et chiffrent les fichiers présents sur les disques durs de la victime. Cela signifie que la victime ne peut pas accéder à ses fichiers, mais qu’elle peut toujours utiliser le système d’exploitation. Petya frappe plus fort en chiffrant des portions du disque dur lui-même, rendant tout accès impossible… même à Windows.
Techniquement parlant, les faits se déroulent de la manière suivante :
- Le fichier malveillant est exécuté
- Une tâche planifiée est créée pour redémarrer la machine infectée après une heure (les utilisateurs voient alors ceci)
- En attendant le redémarrage, Petya recherche d’autres machines présentes sur le réseau afin de se propager.
- Après avoir collecté les adresses IP à infecter, Petya exploite la vulnérabilité SMB et dépose une copie du ransomware sur la machine.
- Après le redémarrage, le chiffrement commence et le message réclamant une rançon s’affiche à l’écran.
Petya a frappé des organisations du monde entier, notamment en France, en Inde, en Espagne, au Royaume-Uni, aux États-Unis et en Russie. À l’instar de WannaCry, l’attaque vise des systèmes en lien direct avec les populations, comme ce distributeur ATM en Ukraine.
Petya on an ATM. Photo by REUTERS.https://t.co/fDQ0nGyQc6 pic.twitter.com/gT2xQP9wAo
— @mikko (@mikko) June 27, 2017
Un chercheur en sécurité talentueux avait été capable de tirer profit d’une erreur de conception commise par les pirates à l’origine de WannaCry. Pour Sean Sullivan, Security Advisor chez F-Secure, il est peu probable que ce scénario se reproduise.
« Les pirates à l’origine de WannaCry ont échoué car ils n’ont pas pu gérer le nombre de victimes engendrées. À l’inverse, la campagne Petya, qui n’en est encore qu’à ses débuts, a été conçue par des professionnels, préparés à toucher le jackpot », explique Sean Sullivan. « L’heure n’est plus à l’amateurisme lorsqu’il s’agit de lancer des attaques ransomware à l’échelle mondiale. »
Environ 30 personnes ont déjà payé les pirates afin de récupérer l’accès à leur ordinateur (nous ne savons pas encore si cela a bel et bien fonctionné). Il semblerait que les pirates n’aient désormais plus accès à leur boîte mail, bloquée par leur fournisseur. D’après Sean Sullivan, une telle mesure n’est pas nécessairement efficace : cela n’empêchera pas le malware de s’étendre.
Les organisations doivent rester particulièrement attentives ces prochains jours si elles veulent éviter une infection par Petya. Compte-tenu des similarités avec WannaCry, les mêmes conseils s’appliquent : mettez à jour Windows, configurez votre firewall pour bloquer le trafic entrant sur le port 445 (dans la mesure du possible), et utilisez une solution de protection des postes de travail. Les produits F-Secure proposent plusieurs mesures conçues pour aider les clients à prévenir les attaques de Petya et d’autres ransomware.
Nous publierons des mises à jour au fur et à mesure, ici et sur Visions et Sécurité IT. Vous pouvez également suivre en temps réel les tweets de Mikko Hyppönen, Chief Research Officer chez F-Secure.
Catégories