Après WannaCry, voici Petya, le ransomware dont nous n’aurions jamais dû entendre parler…

En mai, fais ce qu’il te plaît…

Et c’est exactement l’adage que les cybercriminels de l’attaque WannaCry ont suivi il y a un mois, avec leur attaque massive conduisant au chiffrement des données d’ordinateurs dont Windows n’était pas mis à jour.

En ce mois de juin, après un épisode caniculaire, la pluie est venue avec une nouvelle attaque portant le nom de Petya A, ExPetya ou NotPeTya. Depuis mardi dernier, elle fait les gros titres.

Le ransomware a frappé beaucoup d’entreprises à travers le monde, notamment en France, comme la SNCF, Saint-Gobain ou Auchan. Une fois l’ordinateur infecté, le principe reste le même : chiffrement des données contre une rançon payable en bitcoins.

C’est un malware qui exploite des vulnérabilités connues, pour lesquelles il existe pourtant des correctifs.

Ce ransomware tire avantage de failles récentes de Windows. Il capitalise d’ailleurs sur la même vulnérabilité que celle exploitée par WannaCry en mai dernier. Globalement, il ne se contente pas de viser une seule organisation, mais s’inscrit dans une attaque à périmètre large qui cible tous les dispositifs identifiés et susceptibles d’être infectés par le ver.

Une variante musclée de ransomware qui s’attaque au système

Lorsqu’une vulnérabilité est identifiée, Petya s’en prend au MBR (Master Boot Record ou zone amorce). C’est ce qui permet d’amorcer le système d’exploitation lors du démarrage de l’ordinateur.

Le malware affiche dès lors une demande de rançon à l’intention de l’utilisateur lui indiquant le chiffrement de ses données. Il est également précisé que toute tentative de mise à l’arrêt du système infecté aboutira à une perte irréversible des données et fichiers qui y sont hébergés.

La menace est alors différente de celles d’autres ransomwares qui utilisent un compte à rebours avant la suppression des données.

Quel est le vecteur ?

Dans un premier temps, il semble que cette attaque soit initiée par e-mail, à l’aide d’un fichier Excel qui profite d’une vulnérabilité connue de Microsoft Office. Dès qu’un dispositif est infecté par ce vecteur, Petya, tout comme WannaCry, va plus loin en exploitant une seconde méthode de propagation par « ver » au coeur d’un réseau informatique.

Pour cela, le ver utilise une vulnérabilité connue. Elle est d’ailleurs issue de fuites émanant de l’agence de sécurité américaine NSA. Il s’agit de la porte dérobée DoublePulsar. Avec elle, le ver récupère les identifiants sur la machine contaminée, puis se propage sur le réseau local grâce à un outil de gestion à distance des ordinateurs.

Le problème, c’est que l’outil de la NSA avait été créé par l’agence spécifiquement pour contourner les solutions de sécurité existantes. Pour le coup, le temps passé à détecter une machine infectée suffit pour générer l’infection de douzaines d’autres machines… La sécurité se transforme ainsi en un jeu de rapidité.

Reste la personnalité des attaquants

La méthode d’infection montre également que les pirates n’ont rien de hackers traditionnels. Ils semblent posséder des compétences informatiques basiques. Mais surtout, ils savent reproduire les modes de pensée et d’action d’un administrateur informatique d’une entreprise. Pour le coup, ils se servent d’outils informatiques courants pour accéder à des systèmes internes et y pénétrer.

Qui sont-ils ? Une force étatique visant à exercer des actions de cyberterrorisme économique ? Difficile de le savoir… En tout cas, seul indice pour le moment, le résultat des rançons est maigre. Le portefeuille des criminels plafonnerait à seulement 4 000 bitcoins, c’est-à-dire moins de 10 000 dollars. Il faut dire que l’adresse e-mail indiquée pour régler la rançon a été désactivée. En outre, le règlement de celle-ci ne permet pas de débloquer la situation en cas d’infection.

Ces petits gains et le système de rémunération non optimisé pour échapper à un blocage laissent supposer que ce n’est pas tant l’appât du gain qui compte dans cette histoire que le fait de détruire des données.

Les victimes sont les premières coupables

Comme je ne cesse de le rappeler dans ces chroniques, le ransomware est devenu l’outil préféré des pirates pour gagner de l’argent. Ainsi, le dernier rapport Verizon Data Breach Investigations Report (DBIR) indique que c’est l’attaque la plus courante. L’utilisation de ce procédé qui cible les entreprises a augmenté de 300% depuis janvier 2016, une attaque se produit environ toutes les 40 secondes. Difficile pour un directeur informatique d’ignorer ce fait…

Pour la peine, après l’état de choc provoqué par cette attaque, l’heure est au questionnement… NotPetya n’aurait jamais dû prendre cette ampleur… Avec WannaCry, les conséquences ont été si visibles qu’il était impossible d’imaginer une cyberattaque du même acabit si peu de temps après.

Normalement, toutes les entreprises auraient dû prendre les dispositions nécessaires pour renforcer leur exposition face à cette attaque, désormais bien connue. Je reste donc surpris de constater qu’il y ait toujours autant de machines dénuées des dernières mises à jour de sécurité de Windows et qui restent connectées à Internet.

Je considère que lorsqu’un malware exploite une vulnérabilité connue et disposant d’un correctif existant depuis plusieurs mois, les victimes sont les premiers coupables. En outre, je constate que ces mêmes organisations ne disposent pas d’outils pertinents pour détecter ce type d’infections.

De leur côté, les particuliers sont très peu touchés par ce fléau. Pourquoi ? Simplement parce que leurs ordinateurs sont mis à jour automatiquement et que le système d’exploitation est certainement plus récent que celui des entreprises. En outre, les ordinateurs ne se trouvent pas imbriqués dans un réseau.

Mettre à jour les ordinateurs et disposer d’outils de sécurité adaptés auraient donc pu fortement limiter les dégâts. Ceci dit, il ne faut jamais oublier que garantir une protection à 100% contre ce type d’attaques est tout simplement impossible. Un éditeur de sécurité affirmant le contraire serait tout simplement malhonnête.

[Protégez-vous des nouveaux pirates du net grâce à votre kit anti-virus créé spécialement pour vous par notre spécialiste. N’attendez pas et installez-le en moins de 2 minutes ! Toutes les informations ici…]