L’attaque du ransomware Petya prouve que WannaCry n’était que le début

Ce mardi, plusieurs centaines d’entreprises et d’organisations aux quatre coins du globe ont été touchées par un ransomware de la famille Petya. Parmi les victimes, la compagnie d’électricité ukrainienne, l’une des plus grandes entreprises mondiales du secteur alimentaire et même les systèmes de surveillance des radiations de Tchernobyl.

Même si le vecteur d’attaque initial n’a pas encore été identifié, les analyses F-Secure ont d’ores-et-déjà pu conclure que cette variante de Petya utilise l’exploit EternalBlue, patché pour la première fois par Microsoft en mars de cette année. Cet exploit a notamment gagné en « popularité » en mai dernier suite à l’attaque WannaCry, l’une des plus importantes attaques ransomware de tous les temps. Cet exploit, identifié par la NSA, avait été rendu public en début d’année, avec les révélations du groupe de hackers Shadowbrokers :

Le Laboratoire F-Secure a déjà mis en garde contre les dangers inhérents à la fuite d’outils de surveillance gouvernementaux, utilisés ensuite par les criminels quelques années plus tard. Ces mises en garde constituent aujourd’hui une réalité, et les entreprises doivent se préparer payer les conséquences de ces pratiques dans les années qui viennent.

WannaCry a prouvé que son business model était viable pour les pirates. Les ransomware qui se répandent comme des vers à travers le réseau peuvent prendre en otage une quantité colossale de données, et exiger de l’argent sous forme de Bitcoins pour restituer ces fichiers. Les dommages de WannaCry ont pu être minimisés grâce à un défaut de codage : un expert en sécurité, pourtant en vacances à cette période, avait pu porter un coup d’arrêt au malware.

Petya emploie les mêmes méthodes, mais l’approche semble nettement plus perfectionnée, plus professionnelle.

« C’est l’équivalent de WannaCry, version haute-compétition », explique Sean Sullivan, Security Advisor chez F-Secure.  « La dernière fois, des amateurs ont pu infecter de nombreuses machines. Cette fois, ces pirates veulent réellement encaisser l’argent. »

Contrairement à d’autres ransomware, Petya mise sur une « stratégie diabolique » :  ce malware chiffre des portions du disque dur qui rendent même Windows inaccessible. Bien que cette famille de ransomware existe depuis plus d’un an, aucune version n’avait jusque-là fait appel à des exploits réseau.

depuis mardi après-midi, plus de 6 000 $ ont déjà pu être collectés 

D’après un compte Twitter traquant les paiements, depuis mardi après-midi, plus de 6 000 $ ont déjà pu être collectés dans la valise Bitcoin vers laquelle renvoient les demandes de rançons Petya.