Petya, pire que WannaCry ?

0

Un mois après l’attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est diffusée à très grande vitesse mardi après-midi.

Le logiciel malveillant a touché plus de 2 000 entreprises partout dans le monde en moins de 24 heures et la liste de victimes continue de s’allonger.

LES ENTREPRISES STRATÉGIQUES CIBLÉES

Si WannaCry (lire notre précédent article ici) avait ciblé un public assez large pendant sa vague d’attaque, Petya démontre clairement une certaine préférence pour les administrations et les infrastructures publiques.

Ayant débuté en Ukraine, le ransomware a obligé hier soir la centrale nucléaire de Tchernobyl à contrôler manuellement son niveau de radioactivité. Plus d’une centaine d’entreprises stratégiques ont également été paralysées, dont les principaux fournisseurs énergétiques du pays, les aéroports et les administrations, les services bancaires ou encore les distributeurs de billets. Le distributeur français Auchan a également été touché sur le territoire ukrainien.

Quelques heures après, la banque centrale de la Russie et l’un des plus gros producteurs de pétrole au monde, le groupe Rosneft, se sont rejoint à la liste des établissements infectés. En Europe et aux États-Unis, plusieurs multinationales ont eu à faire Petya, tels que : le géant américain de la pharmacie Merck, le spécialiste britannique de la publicité WPP, le premier transporteur maritime danois Maersk et le plus grand cabinet d’avocats au monde DLA Piper.

La France n’a pas échappé à l’infection et plusieurs entreprises se sont vues obligées à prendre des mesures d’urgence pour éviter une éventuelle propagation. Parmi les victimes, nous rappelons le géant des matériaux Saint-Gobain et le SNCF.

ENCORE UN RANSOMWARE ?

Surnommé parfois Petrwrap, GoldenEye, ou encore Nyetya, le ransomware Petya a été découvert pour la première fois en mai 2015. Aujourd’hui, nous parlons d’une nouvelle variante du malware initial. C’est pourquoi certains experts ont choisi d’employer le terme NotPetya et de traiter la menace comme un nouveau virus.

Petya (ou NotPetya) agit comme tout autre ransomware. Une fois présent sur votre machine, il va forcer le reboot au bout de seulement quelques minutes. Ensuite, il passe au chiffrement des données, dont notamment les fichiers de type .doc (Word), .ppt (PowerPoint), .xls (Excel), .pdf, .rar, .zip. … À la fin, un message apparaît à l’écran et vous demande de payer une rançon de 300 dollars afin d’obtenir la clé de déchiffrement.

Jusqu’ici, rien ne change vraiment. C’est en regardant de plus près le mode opératoire de ce ransomware que nous avons découvert la clé de sa réussite. En effet, pour s’infiltrer sur une machine, Petya fait appel à plusieurs vecteurs d’attaque.

À l’origine, le virus aurait été embarqué dans une mise à jour du logiciel de comptabilité ukrainien MeDoc, ce qui expliquerait pourquoi l’Ukraine a subit une partie considérable des dégâts. En parallèle, selon une alerte CERT, Petya se propage également via des techniques de phishing (c’est à dire, des pièces jointes malveillantes reçues par courrier électronique).

Cependant, la cause la plus probable (et la plus étonnante) de la propagation du ransomware reste la persistance de la faille EternalBlue (#WannaCryEstDeRetour). Nous vous rappelons qu’il s’agit d’une vulnérabilité créée par la NSA et divulguée par le groupe Shadow Brokers il y a peu de temps. EternalBlue a servit comme rampe de lancement pour l’affaire WannaCry durant laquelle 3 000 000 d’ordinateurs n’ayant pas effectué leur mise à jour Windows ont été infectés.

QUE RESTE-T-IL A FAIRE…

si WannaCry nous a rien appris la première fois ?

Si vous êtes déjà infectés, il est impératif de débrancher votre machine du réseau pour éviter que l’infection ne se propage aux autres appareils connectés. Une fois la rançon reçu, l’ANSSI vous recommande de ne jamais payer. Rien ne vous garanti que les pirates tiendront leur parole. Malgré ces recommandations, près de 6 000 dollars avaient déjà été versés hier soir sur le compte des cybercriminels.

Si toutefois vous n’êtes pas infectés, nous vous conseillons de télécharger rapidement la mise à jour Microsoft Windows MS17-010. Vous pouvez également limiter l’exposition du service SMB ou faire appel à nos solutions capables de détecter, ainsi que de prévenir ce type de cyber-attaque.

Si vous avez déjà effectué la mise à jour (avant ou après l’incident WannaCry), il est préférable de ne pas ouvrir les documents reçus par mail sans consulter au préalable l’expéditeur.

POURQUOI EN SOMMES-NOUS ARRIVÉS LÀ ?

Les conclusions d’aujourd’hui sur l’état actuel de la cybersécurité sont plutôt tristes. Cependant, il n’y a pas qu’un seul responsable dans toute cette histoire. L’effet WannaCry / Petya est devenu réalité à cause d’un enchaînement d’erreurs et d’un manque de vigilance vis-à-vis les bonnes pratiques en cybersécurité.

Premier coupable : les cybercriminels. Si cette attaque a été possible aujourd’hui, c’est principalement à cause d’un certain groupe de pirates informatiques – Shadow Brokers, qu’ont fait circuler dans la nature de nombreuses failles.

Deuxième coupable : la NSA. Développer des cyber-armes c’est un acte très risqué. L’agence nationale de sécurité américaine ne devrait pas être exonéré de sa responsabilité.

Troisième coupable : les entreprises. Si vous êtes tentés à pointer du doigt dans la direction du Microsoft, ce n’est pas le cas. Le géant avait déjà publié un correctif Windows, même avant l’apparition de WannaCry. Le seul problème ? Les mises à jour doivent parfois être déclenchées de manière manuelle. Connaissant la nature humaine, la plupart des gens ont tardé à effectué le correctif car ils se disent que la cybersécurité c’est un sujet qui ne les concerne pas.

Ce constat pousse les experts d’ITrust à surveiller en permanence l’état de l’art du domaine de la cybersécurité et, par conséquent, d’agir à ce niveau-là en tant qu’ambassadeurs dans la poursuite de la sensibilisation des utilisateurs. Pour plus de conseils sur comment acquérir une cyber-routine efficace et ne plus se trouver du côté des « coupables », vous pouvez consulter les 10 failles de sécurité les plus rencontrées ici.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply