Que s’est-il passé ?
Le 27 juin, une vague d’attaque de ransomware a frappé des dizaines de milliers d’ordinateurs dans plus de 65 pays. L’Ukraine et la Russie ont été les plus touchés. Certaines entreprises françaises ont également été impactées, comme Saint-Gobain ou la SNCF, ce qui a suscité l’ouverture d’une enquête du parquet de Paris. Selon Kaspersky, quand le malware parvient à infecter un ordinateur, il chiffre la totalité des données en s’appuyant sur les algorithmes AES 128 et RSA 2048. Ensuite, il modifie la zone d’amorçage (Master Boot Record) puis provoque son redémarrage. L’ordinateur est alors totalement bloqué. Il affiche un message incitant l’utilisateur à transférer l’équivalent de 300 dollars à une adresse bitcoin.
Comment s’appelle cette attaque ?
Plusieurs noms circulent. Des bouts de code du malware sont issus d’un ransomware connu, baptisé Petya. C’est pourquoi certains chercheurs l’on appelé « PetrWraper », ou simplement « Petya ». Mais d’autres ont considéré que le malware était trop différent pour être rattaché à Petya. Ils l’ont donc logiquement appelé « NotPetya » ou « NyietPetya ». D’autres encore ont proposé le nom « GoldenEye » pour des raisons qui échappent à tout le monde. Dans la suite de cet article, nous utilisons le terme NotPetya qui a l’avantage d’être facilement prononçable.
Comment NotPetya infecte-t-il ses victimes ?
A l’instar de WannaCry, NotPetya cible surtout les entreprises et les organisations. Mais contrairement à son prédécesseur, il ne se propage pas de manière sauvage par Internet. D’après Microsoft, la première infection a eu lieu en Ukraine : les pirates se sont servis de la procédure de mise à jour d’un logiciel de comptabilité (MEDoc) pour faire entre leur code malveillant dans le réseau d’une entreprise locale.
Kaspersky a identifié un autre vecteur d’infection, à savoir le site web de la ville ukrainienne de Bakhmut, dans la région de Donetsk. Les pirates ont piégé la page d’accueil de telle manière à provoquer le téléchargement d’un exécutable camouflé en mise à jour Windows. Les pirates ont peut-être utilisé d’autres vecteurs, comme l’envoi d’e-mails piégés. Mais à ce stade, c’est encore trop tôt pour le dire.
In addition to known vectors, ExPetr/PetrWrap/Petya was also distributed through a waterhole attack on https://t.co/j9DvYcEgW7
— Costin Raiu (@craiu) June 28, 2017
Comment NotPetya se propage-t-il au sein des réseaux informatiques ?
Une fois qu’il a réussi à prendre pied sur une machine au sein d’un réseau d’entreprise, NotPetya va tenter de se diffuser à travers le réseau interne de l’entreprise pour piéger d’autres machines. Pour cela, le malware a plusieurs cordes à son arc. Il intègre deux outils de piratage volés à la NSA, qui ont été publiés par le groupe ShadowBrokers, à savoir EternalBlue et EternalRomance. Les deux permettent de prendre le contrôle d’une machine par le biais du protocole SBMv1. Ils s’appuient sur des failles qui ont été patchées depuis plusieurs mois.
Si la voie du protocole SMB est infructueuse, le malware va chercher des mots de passe administrateur sur la machine et, le cas échéant, tenter de se connecter sur d’autres terminaux par les ports TCP 139 et 445. S’il détecte un serveur ou, mieux, un contrôleur de domaine, il y déposera un exécutable qui sera actionné à distance en utilisant des outils de téléadministration de Microsoft (PSEXEC et WMIC). L’avantage de cette méthode est qu’elle permet aux pirates d’infecter des machines même si elles ont toutes les mises à jour de sécurité.
Si le réseau de l’entreprise est connecté à des partenaires, rien n’empêche les pirates d’infecter par ce biais d’autres organisations.
Récupère-t-on les données après avoir payé la rançon ?
Non. Le processus de déchiffrement est totalement inopérant depuis que l’hébergeur allemand Posteo a désactivé l’unique adresse email que devait utiliser les victimes pour confirmer le paiement de la rançon. Sans cette confirmation, les pirates ne peuvent pas identifier le payeur et donc envoyer la clé de chiffrement, si toutefois ils avaient jamais eu l’intention de le faire.
Pour sa part, le chercheur en sécurité Matt Suiche estime que le message de rançon n’est qu’un leurre pour alimenter la machine médiatique et que le véritable objectif de cette attaque est le sabotage. D’après son analyse, les données de la zone d’amorçage ne sont sauvegardées nulle part, mais simplement remplacées par autre chose. Le disque serait donc de toute façon irrécupérable. « La version actuelle de Petya a été réécrite pour être un wiper, et non un ransomware », souligne l’expert.
Comment se protéger ?
La plupart des solutions antivirus détectent désormais le malware. Pour éviter la propagation, les administrateurs réseau peuvent également bloquer le trafic SMBv1 et les outils d’administration PSEXEC et WMIC. Enfin, signalons l’existence d’un « vaccin » trouvé par le chercheur Amit Serper. Avant de procéder au chiffrement des données, le malware cherche la présence d’un fichier local (« perfc »). S’il existe, il arrête son funeste travail. Il suffit donc de créer ce fichier artificiellement pour ne plus être embêté.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
