Peyta n’est pas la seule

0

En comparaison à WannaCry, cette vague que nous appellerons « Petya » a été plus rapide, mais plus ciblée que la vague WannaCry du mois dernier. Mais, le plus inquiétant c’est que Peyta n’est pas la seule: Vade Secure alerte en parallèle sur des campagnes de ransomware Jaff, Cerber (le plus gros volume observé) et de Trojans Trickbot et Hancitor de très grande ampleur diffusée vers les entreprises européennes, et qui est véhiculée par email.

Au cours de la nuit du 27 au 28 juin, Vade Secure a bloqué plus d’1,2 million d’emails dissimulant le ransomware Jaff, Cerber ainsi que les trojan Trickbot et Hancitor. Une telle vague dépasse toutes les dernières campagnes observées par Vade Secure depuis 1 an (Locky à cette époque).

À ce propos, Sébastien Gest, Tech Evangelist chez Vade Secure commente : « Lors de la cyberattaque Wannacry, nous avions déjà observé des vagues de ransomware Jaff simultanées envoyées par email aux entreprises. Une situation similaire est donc observée depuis hier. Même si rien ne permet de lier la cyberattaque Petya en cours avec cette campagne Jaff, Cerber, Trickbot et Hancitor, la coïncidence du timing pose question».

L’éditeur pense à deux hypothèses, tout d’abord, « les cybercriminels sont les mêmes et ils cherchent à multiplier les variantes et les modes de propagation pour noyer les entreprises et leurs services de sécurité en attaquant sur de multiples fronts en simultanée », ou bien « un groupe distinct a saisi l’opportunité du marasme ambiant depuis hier pour relancer une campagne distincte à grande échelle…».

La certitude est que les cybercriminels, que cela soit un ou plusieurs groupes, cherchent à faire du volume et de l’argent, et ils mulitplient les variantes, là ou WannaCry pouvait laisser penser à une campagne de préparation ».

Analyse de la vague d’attaque

En ce mercredi 28 Juin, les réseaux informatiques de nombreuses entreprises dans le monde ont été infectés par une vague d’un ransomware qui a été identifié sous les noms de « PetrWrap », « NoPetya« , « GoldenEye« . L’Ukraine, Russie, Danemark, Royaume-Uni, Norvège, Pays-Bas ont été notamment touchés par ce ransomware. Selon les premières analyses, 60% des machines infectées se trouvent en Ukraine et 30% en Russie.

60% des machines infectées se trouvent en Ukraine et 30% en Russie

En France, des entreprises de tailles significatives telles que le géant français Saint-Gobain ou le groupe de la grande distribution française Auchan. Dans le monde l’américain Merck (Pharmaceutique), le russe Rosneft (pétrochimie) ou encore le Britannique WPP (publicitaire) ont été touchés.

Ce que nous savons à ce moment sur cette attaque

D’après de premiers retours internationaux, la première machine infectée en Ukraine l’aurait été au travers d’une mise à jour infectée du logiciel de comptabilité de l’éditeur ukrainien « MeDoc« . Microsoft suite à une investigation en interne a confirmé ce matin cette hypothèse.

De quelle manière se propage Petya ?

Une fois que la première machine sur le réseau de l’entreprise est infectée, Petya utilise trois vecteurs de propagation.

  • EternalBlue : Module déjà présent dans le ransomware WannaCry. Ce module cible le protocole SMBv1 au travers d’un dépassement de mémoire.
  • PsExec : Outil d’administration Windows. De la même manière que l’utilitaire Telnet, PsExec permet d’exécuter des commandes et des programmes sur des systèmes distants.
  • WMI : Windows Management Instrumentation. WMI est un outil de gestion d’un parc de système d’exploitation Windows à distance. WMI est utilisé pour la supervision des systèmes au travers de scripts. WMI est préinstallé sur la quasi-totalité des systèmes d’exploitation Windows.

En parallèle de cette vague Petya, un volume cumulé d’environ 1 221 790 emails a été détecté par le filtre Vade Secure.

Trois vagues distinctes ont été détectées, une première contenant le ransomware Jaff (fichier docm dans une pièce jointe) puis deux vagues contenants les ransomwares Cerber et Hancitor. Il ne faut donc pas confondre la vague d’attaque Petya et les différentes vagues Jaff, Hancitor et Cerber toujours présentes. 

Il est encore tôt pour avoir une analyse fine du fonctionnement de ce ransomware. Cependant, quelques préconisations sont cependant à prendre en compte :

– Mettre à jour ses systèmes d’exploitation.

– Désactiver ou restreindre les droits des outils d’administration à distances.

– Si la machine est infectée, ne pas payer la rançon et utiliser un logiciel de sauvegarde pour réinstaller la machine.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply