EternalBlue à nouveau utilisé pour répandre un ransomware plus puissant que WannaCryptor

0

Détectée par ESET comme Win32/Diskcoder.C Trojan., une nouvelle attaque de ransomware liée à la famille Petya cible l’Ukraine. S’il infecte le MBR, le ransomware chiffre l’intégralité du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa.

Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec. Les experts ESET espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware s’infiltre dans le réseau. Le malware peut alors obtenir des droits d’administrateur et se propager sur d’autres ordinateurs.

Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques, les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook par le Premier ministre adjoint de l’Ukraine, Pavlo Rozenko, qui montre qu’un ordinateur est apparemment chiffré.

La Banque Nationale d’Ukraine a averti sur son site Internet les autres banques : « Le secteur financier a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs du marché financier. »

Forbes a déclaré que bien qu’il semble y avoir des similitudes avec WannaCrypt (d’autres le décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.

Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de WannaCrypt. Il proviendrait du Groupe IB : « Si vous voyez ce texte, vos fichiers ne sont plus accessibles, car ils ont été chiffrés … Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de payer [300 bitcoins] et acheter la clé de déchiffrement. »

Il semble que l’attaque de ransomware ne soit pas spécifique à l’Ukraine. The Independent déclare que l’Espagne et l’Inde ont également été infectées, ainsi que la compagnie de transport maritime danoise Maersk® et la société de publicité britannique WPP.

WPP a depuis confirmé sur Twitter qu’il a été victime d’une cyberattaque : « Les systèmes informatiques de plusieurs entreprises de WPP ont été infectés par une cyberattaque. Nous prenons les mesures appropriées et nous mettrons à jour nos systèmes au plus vite. »

About Author

Globb Security France

Leave A Reply