Détectée par ESET comme Win32/Diskcoder.C Trojan., la nouvelle attaque de ransomware liée à la famille Petya a tout d'abord ciblé l’Ukraine. Mais pas seulement... L'Europe, la Russie et l'Amérique du Nord sont également touchées.
S'il infecte le MBR, le ransomware chiffre l’intégralité du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa. Pour se diffuser, le nouveau ransomware utilise une combinaison de l'exploit SMB EternalBlue, utilisée par WannaCryptor pour se propager dans le réseau via PsExec. Les analystes de Kaspersky Lab enquêtent parallèlement sur cette nouvelle vague d’attaques de ransomware qui cible des organisations partout dans le monde.
« Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, comme cela a été publiquement annoncé, mais bien un nouveau ransomware qui n’a jamais été observé jusqu’à présent, déclare Kaspersky Lab. C’est pourquoi nous l’avons appelé NotPetya. Nos données télémétriques indiquent que près de 2000 utilisateurs auraient été attaqués jusqu’à présent. Des organisations en Russie et en Ukraine sont les plus infectées, et d’autres ont également été touchées en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France, aux Etats-Unis et dans d’autres pays. Il semblerait que nous ayons affaire à une attaque complexe qui implique plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’un exploit EternalBlue modifié est utilisé pour la propagation de la menace, au moins sur les réseaux d’entreprise. Nous recommandons à toutes les entreprises de mettre à jour leurs logiciels Windows, de vérifier leur solution de sécurité et de vérifier qu’elles ont un système de sauvegarde actif, ainsi qu’une solution de détection des ransomwares. »
Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec, estiment les experts ESET qui espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware s’infiltre dans le réseau. Le malware peut alors obtenir des droits d'administrateur et se propager sur d'autres ordinateurs.
Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques, les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook par le Premier ministre adjoint de l'Ukraine, Pavlo Rozenko, qui montre qu'un ordinateur est apparemment chiffré. La Banque Nationale d'Ukraine a averti sur son site Internet les autres banques : « Le secteur financier a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs du marché financier. » Forbes a déclaré que bien qu'il semble y avoir des similitudes avec WannaCrypt (d'autres le décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.
Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de WannaCrypt. Il proviendrait du Groupe IB : « Si vous voyez ce texte, vos fichiers ne sont plus accessibles, car ils ont été chiffrés ... Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de payer [300 bitcoins] et acheter la clé de déchiffrement. »
Il semble que l'attaque de ransomware ne soit pas spécifique à l'Ukraine. The Independent déclare que l'Espagne et l'Inde ont également été infectées, ainsi que la compagnie de transport maritime danoise Maersk et la société de publicité britannique WPP.
WPP a depuis confirmé sur Twitter qu'il a été victime d'une cyberattaque : « Les systèmes informatiques de plusieurs entreprises de WPP ont été infectés par une cyberattaque. Nous prenons les mesures appropriées et nous mettrons à jour nos systèmes au plus vite. »
38 millions de PC vulnérables à EternalBlue, voire plus !
Pour Jakub Kroustek, Threat Lab Team Lead chez Avast, cette nouvelle attaque est un autre exemple de ransomware similaire à Petya, identifié pour la première fois en 2016. Selon les nombreux rapports en cours, ce virus a touché plusieurs entreprises en Ukraine incluant des banques, des sociétés énergétiques, de services de transports ainsi que des gouvernements.
« Il y a quelques mois, nous avons constaté que le ransomware Petya avait été corrigé et regroupé dans une souche de malware différente appelée PetrWrap. L'attaque semble aujourd’hui se propager avec des incidents signalés en Russie, en Inde, en France, en Espagne et aux Pays-Bas. Les individus derrière l'attaque demanderaient une rançon de 300 dollars à payer en crypto-monnaie, c’est-à-dire en Bitcoin.
Ce ransomware semblable à Petya serait en train de se répandre à l'aide de la vulnérabilité EternalBlue, la même utilisée pour diffuser WannaCry. Aujourd’hui, nous avons détecté et bloqué 12 000 tentatives d’exploitation EternalBlue par des logiciels malveillants. D’après les données du Wi-Fi Inspector d'Avast, qui scanne les réseaux et peut détecter si un PC Avast ou un autre PC connecté au même réseau fonctionne avec la vulnérabilité EternalBlue, 38 millions d’ordinateurs scannés la semaine dernière n'ont pas corrigé leurs systèmes et sont donc vulnérables. Cependant, leur nombre réel est probablement beaucoup plus élevé.
Nous recommandons vivement aux utilisateurs de Windows, particuliers et professionnels, de mettre à jour leurs systèmes avec les correctifs disponibles dès que possible, et de veiller à ce que leur logiciel antivirus soit également à jour.
Alors que nous ignorons qui se cache derrière cette cyberattaque, nous savons que l'une des caractéristiques sournoises du ransomware Petya repose sur le fait que ses créateurs l'offrent sur le Darknet selon un modèle d'affiliation qui donne aux distributeurs une part pouvant aller jusqu’à 85 % de la rançon versée, les 15 % restant sont conservés par les auteurs de malwares. Ces derniers fournissent l'infrastructure complète, les serveurs de commandes et contrôle (C&C) et la méthode de transfert d'argent. Il est question de "Ransomware as a Service (RaaS)", ce qui permet aux auteurs de logiciels malveillants de gagner des clients non spécialisés dans la technologie pour distribuer leur système de ransomware. »
Pour Kobi Ben Naim, Senior Director of Cyber Research, CyberArk Labs, NotPetya pourrait être encore plus néfaste que WannaCry. « Actuellement, ce logiciel malveillant se répand en utilisant la méthode d’infection à l’efficacité éprouvée par WannaCry – un vers qui propage rapidement le ransomware en utilisant la vulnérabilité appelée "EternalBlue" présente dans le protocole Server Message Block dans les systèmes Microsoft. La puissance de cette méthode est telle qu’elle a les capacités d’engendrer des dommages d’une ampleur encore jamais vue auparavant.
D’après les premières recherches menées par le CyberArk Labs, NotPetya se démarque de WannaCry puisqu’il épargne les terminaux dotés uniquement d’un clavier américain. Ce type d’auto-restriction a déjà été identifié par le passé dans des attaques qui émanaient la plupart du temps d’Etats. Comme pour WannaCry, n’importe quelle personne ou organisation est vulnérable à ce virus tant qu’elle ne met pas à jour son système Windows.
Cependant, cette mise à jour ne peut que protéger les entreprises contre la méthode d’attaque. Les recherches CyberArk démontrent en effet que NotPetya requiert des droits d’administrateurs pour s’exécuter. Par conséquent, si un utilisateur clique malencontreusement sur un lien de phishing, le logiciel malveillant infectera néanmoins le réseau. Comme Petya, ce nouveau malware est considéré comme dangereux dû à sa capacité extraordinaire à chiffrer le Master Boot Record – soit le premier secteur adressable d'un disque dur – et non des documents et des applications, empêchant donc les utilisateurs de redémarrer leur machine. En plus des mises à jour, les sociétés doivent donc se concentrer sur la protection des comptes à privilèges aux points d’accès afin que les pirates informatiques ne puissent pas exécuter l’attaque. »
Pour Christophe Jolly, Directeur France de Vectra AI, « Garantir une protection à 100% contre ce type d’attaque est tout simplement impossible. Un éditeur de sécurité affirmant le contraire serait tout simplement malhonnête. Les entreprises doivent bien être consciente de cela. Pour pénétrer un réseau d’entreprise, un cyber attaquant n’a besoin que d’une faille et la surface d’attaque des réseaux d’entreprise est tellement large qu’il est impossible de sécuriser à 100% le périmètre. En ajoutant à l’attaque une extension PetWrap, le cybercriminel a créé un schéma pyramidal qui chiffre l’ordinateur dès le lancement d’une session utilisateur, et non uniquement les fichiers, ce qui rend l’attaque encore plus grave. Le temps passé à détecter une machine infectée, suffit à générer l’infection de douzaine d’autres machines… La sécurité se transforme ainsi en un jeu de rapidité. La NSA a conçu ce type d’outils spécifiquement pour contourner les solutions de sécurité existantes, ça n’est donc pas une surprise si nous sommes engagés dans une course pour rattraper les cybercriminels utilisant aujourd’hui ces outils ».
« A l’origine de la cyberattaque actuellement en cours et qui touche de nombreux pays, dont la France : un malware qui infecte le MBR (master boot record) avec le malware Trojan.MBRlock.265. Il s’agit en fait d'une nouvelle version de ce Trojan, confirme Igor Zdobnov, Chief Malware Analyst chez Doctor Web. Certains médias font des parallèles avec le ransomware Petya (qui est détecté par Dr.Web comme Trojan.Ransom.369) en prenant en compte certaines manifestations externes de ses activités, cependant, la méthode de propagation de la nouvelle menace est différente du schéma standard utilisé dans Petya ».
« D’après les leçons que nous avons retenues du ransomware Wannacry, le plus important pour les entreprises - à ce stade de l’attaque - est la gestion d’incident et le flux d’informations en temps réel, met en garde Csaba Krasznay, Security Evangelist chez Balabit. Les entreprises doivent être sures qu’au cours de ces heures premières heures critiques, elles ne causent pas de dégâts encore plus importants. Les professionnels de sécurité doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique (analyse forensique). Cela passe par exemple par la collecte de tous les événements (logs) générés sur leur réseau et l’enregistrement de toutes les sessions utilisateurs avec des outils de gestion des sessions, notamment dans les cas où le système doive être restauré à la suite d’une erreur humaine ».
Sources : InfoDSI - Article publié le 27 juin 2017 - http://www.infodsi.com/articles/169723/point-nouvelle-attaque-ransomware.html