Alertes

Cyberattaque mondiale – Une campagne de “cyberextorsion” d’une violence inouïe

Par

28 juin 2017

121

WannaCry n’était visiblement qu’un début. Cette nouvelle cyberattaque propageant un ransomware nouveau baptisé Petrwrap est très virulente et 38 millions de PC dans le monde sont potentiellement vulnérables. D’importantes entreprises ont déjà été touchées aux quatre coins du monde.

Certains le nomment Petrwrap, GoldenEye, Nyetyaou encore NotPetya.

Depuis le début de l’attaque vendredi, plusieurs grandes entreprises ont déjà été fortement touchées par ce nouveau ransomware, notamment en Russie, en Ukraine, au Danemark, en France, en Allemagne, au Royaume-Uni, en Norvège, au Luxembourg, en Grèce, en Italie, aux Etats-Unis et aux Pays-Bas. La liste s’agrandie d’heure en heure. Le malware réclame une rançon de 300 dollars (environ 275 euros) une fois le système Windows infecté et les fichiers chiffrés fortement. Des dizaines de pays sont déjà touchés comme le montre Le Figaro.

GoldenEye/Petya ransomware – La campagne ransomware pourrait avoir pour unique objectif la destruction des données, et non des gains financiers d’après Bitdefender. Bitdefender conclut que la campagne ransomware GoldenEye / Petya pourrait avoir pour unique objectif la destruction des données, et non des gains financiers comme c’est le cas de façon générale dans les attaques ransomwares.

« L’attaque a commencé en Ukraine, en utilisant un fournisseur de services de messagerie électronique classique et faillible comme canal de communication. C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers. Mais cela a ravagé les entreprises à travers le monde », explique Bogdan Botezatu, Spécialiste Sécurité chez Bitdefender.

En outre, le processus de paiement et de récupération de clé manque totalement d’automatisation. Pour les agresseurs, cela rend presque impossible la promesse de fournir les clés de déchiffrement des données, pour ceux qui paient la rançon. Une autre preuve forte pour soutenir cette théorie est la mauvaise configuration du service de confirmation de paiement.

« L’utilisateur doit saisir manuellement une “clé personnelle d’installation” extrêmement longue et mixte, qui est susceptible de fautes de frappe. Normalement, les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d’automatisation qui rend le processus de paiement facile et sécurisé, presque au niveau de celui des banques en ligne. Ici, nous avons affaire à un désordre total en termes de convivialité “, termine Bogdan Botezatu.

Parmi les victimes, ont peut citer le géant pétrolier russe Rosneft qui à été forcé de passer sur un serveur de secours, le sidérurgiste russe Evraz, et la centrale nucléaire ukrainienne de Tchernobyl à revenir à des mesures manuelles du niveau de radioactivité. D’énormes pannes informatiques ont été causées chez le transporteur maritime Maersk et des usines ont été coupées du réseau électrique : Lu et Oreo, Nivea en Allemagne. En France, le Parquet à ouvert une enquête après que le géant publicitaire britannique WPP, l’industriel français Saint-Gobain, le distributeur Auchan et la SNCF aient été touchés. Les es hôpitaux britanniques ont eux aussi été touchés, de même que le constructeur automobile français Renault.

Le laboratoire pharmaceutique Merck est devenu la première victime connue aux Etats-Unis puis le groupe FedEx a suivi.

L’Ukraine est très sérieusement touché et paralysée par le malware comme le montre ces statistiques d’infection dévoilées par Kaspersky :

La banque centrale d’Ukraine a tiré le signal d’alarme hier. Aussi, les transports en commun russes et ukrainiens ont été impactés : Le métro de Kiev indiquait sur sa page Facebook ne plus pouvoir accepter de paiements par carte bancaire à ses guichets à cause de la cyberattaque. Le site officiel et les panneaux d’affichage des vols de l’aéroport Borispol de Kiev « ne fonctionnent plus », a également déclaré la direction de l’aéroport sur sa page Facebook, ajoutant qu’en raison de ces dysfonctionnements, des vols pourraient être retardés. Le système bancaire russe est fortement impacté aussi.

Bref, la situation mondiale est très tendue face à cette nouvelle cyberattaque d’envergure exploitant une vulnérabilité zero-day Microsoft Windows.

Ryan Kalember, SVP Cybersécurité au sein de Proofpoint propose l’éclairage suivant sur la situation :

“De nombreuses entreprises ont désormais été touchées par la dernière attaque au ransomware, qui semble avoir commencé en Ukraine avant de se propager rapidement. Les premiers indicateurs montrent que le ransomware en question écrase le MBR (master boot record) de la même manière que Petya, s’appuie sur la faille d’exploitation EternalBlue comme Wannacry, et utilise plusieurs moyens de se déployer à travers un réseau, notamment via les outils d’administration Windows.

Il est critique que toutes les organisations dans le monde s’assurent d’avoir déployé les derniers patchs, évitent d’utiliser des logins et mots de passe en mode administrateur local, et disposent de procédures de sauvegarde prêtes à être actionnées dans le cas d’une attaque ransomware telle que celle-ci. Pour les organisations travaillant dans des environnements Windows, il est également important de bloquer le partage admin$ depuis l’espace de configuration Group Policy Object, en attendant de vérifier que les autres outils de contrôle (comme la protection des équipements et la protection réseau) bloquent effectivement ce malware. Pour la plupart des organisations, la meilleure stratégie pour lutter contre les ransomwares est un mix de prévention, de détection et de capacités de récupération.

Il est également important de souligner que les adresses email associées à ce ransomware ont été désactivées, et que les organisations touchées ne doivent en aucun cas payer la rançon.”

Selon la société russe de cybersécurité Kaspersky, “Petrwrap” est une version modifiée du ransomware Petya qui avait frappé l’an dernier. Il s’agit “d’un nouveau ransomware, qui n’a jamais été vu jusqu’ici”. Il n’est aucunement basé sur un code source connu.

Selon Microsoft, la cyberattaque mondiale lancée hier soir “utilise plusieurs techniques pour se propager”. Elle profite notamment d’une faille de Windows pour laquelle le groupe avait déjà diffusé un correctif.

Le CERT-FR, la centre de veille et d’alerte de l’ANSII, a publié un bulletin d’alerte en urgence, recommandant « l’application immédiate des mises à jour de sécurité » et de « limiter l’exposition du service SMB », qui est un service de partage de fichiers sous Windows et qui était déjà le principal vecteur de propagation de WannaCry.

Encore une fois, la cyberattaque se base sur l’exploitation du fameux outil de piratage EternalBlue volé à la NSA… Pourquoi un tel regain après les 300 000 victimes de WannaCry ? Selon le hacker Matt Suiche, ce code malveillant été remanié de telle manière à ce qu’il ne soit pas immédiatement reconnaissable par les logiciels antivirus. De plus, selon Mikko Hypponen, chercheur en sécurité chez F-Secure, le malware Petrwrap utilise deux autres vecteurs de diffusion, à savoir WMIC (Windows Management Instrumentation Command Line) et PSExec, des technologies d’administration de parcs d’ordinateurs qui permettent de se connecter à distance et d’exécuter des commandes.

Cerise sur le gâteau, même les ordinateurs patchés sont vulnérables ! Petwrap arrive en effet à infecter des machines totalement patchés :

« Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware s’infiltre dans le réseau. Le malware peut alors obtenir des droits d’adminitrateurs et se propager sur d’autres ordinateurs », explique l’éditeur Eset dans une note de blog.

Le niveau de la menace semble être d’un niveau sans précédent et les experts d’Europol sont inquiets et commencent la traque :

“L’attaque est d’un niveau sans précédent et exigera une enquête internationale complexe pour identifier les coupables.“, a indiqué l’Office européen des polices Europol. “Une équipe dédiée au sein du Centre européen sur la cybercriminalité a été spécialement montée pour aider dans cette enquête, et jouera un rôle important“.

Ce malware est plus malveillant que la plupart des variétés de ransomwares déjà connu à ce jour. En effet, Petya ne crypte pas uniquement les fichiers sur un système ciblé un par un – il crypte également la table de fichiers maîtres du disque dur (MFT), ce qui qui rend le secteur d’amorçage (MBR) inutilisable et empêche le système de démarrer. Lors du redémarrage du système infecté, le ransomware affiche une fausse erreur de CHKDSK, en même temps qu’il procède au chiffrement du système. Cependant, le ransomware Petya a en réalité remplacé le MBR du système par un code malveillant qui affiche une demande de rançon, rendant le périphérique incapable de démarrer. Notez que, une fois que le système infecté a été redémarré, il ne tente plus de répandre l’infection (puisque l’ordinateur infecté arrête de démarrer). Il est donc susceptible de se propager beaucoup plus lentement que ne le fait le ransomware WannaCry.

La manière dont le malware se propage

D’après Juniper Networks, cette dernière variante utilise trois principaux moyens d’attaque pour se propager :

CVE-017-0199 ( Microsoft Office / WordPad Remote Code Execution Vulnerability w / Windows API ) – un vecteur basé sur le poste client qui se diffuse par courrier électronique. (Très probablement en pièce jointe – le vecteur initial se dissimulait dans un fichier nommé Order-20062017.doc.)

Une fois que le malware s’est exécuté, l’ordinateur infecté tente une connexion à 84.200.16.242/myguy.xls qui est un fichier MS HTA. Cela se traduit par la connexion à french-cooking[.]com qui télécharge et dépose un autre exécutable (myguy.exe, enregistré) sur le système local <random> .exe, pour lequel <random> est un nombre aléatoire compris entre 0 et 65535).

Une fois que le ransomware a infecté le poste, il tente d’utiliser le second vecteur, en passant par MS017-010 (Vulnérabilité d’exécution de code à distance SMB de Windows ) et en utilisant l’exploit ‘ETERNALBLUE’ – un vecteur d’infection basé sur le réseau pour se répandre sur des réseaux internes – soit la même vulnérabilité exploitée par ‘WannaCry’, le malware qui a fait parlé de lui récemment.

Le logiciel malveillant semble exploiter Windows WMI ( Microsoft Windows Management Interface ) pour se répandre sur les réseaux internes si les informations d’identification des administrateurs sont disponibles. La méthode d’escalade des privilèges et / ou le vol d’identité qui facilite cette action est encore en cours d’analyse.

“Les cybercriminels pourraient croire qu’ils opèrent incognito mais nous allons utiliser tout l’arsenal à notre disposition pour les amener devant la justice“, a souligné Oliver Gower, directeur adjoint de la National Crime Agency britannique

“C’est la plus importante attaque de ce type de l’histoire, 130 000 systèmes touchés dans plus de 100 pays“, a assuré à l’AFP Mikko Hypponen, responsable de la société de sécurité informatique F-Secure, basée en Finlande.

Reste que peut être, la véritable identité des attaquants ne sera jamais connue ? Qui sait. En tout cas, la traque s’organise et le nombre de victimes ne cesse d’augmenter dangereusement…

Cyberattaque mondiale – Une campagne de “cyberextorsion” d’une violence inouïe

La manière dont le malware se propage

Communauté UnderNews

La séléction de la rédac'

Bitdefender publie une analyse, chiffres France inclus, des comportements et préoccupations des consommateurs en matière de cybersécurité dans le monde

Faire face à la menace croissante du « Quishing »

La période de déclaration des revenus est lancée, celle des cyber-escroqueries aussi !

Sujets chauds

Comparatif – Top 10 des meilleurs hébergeurs Web francophones

Pirater les mots de passe Facebook ? Aussi simple qu’un changement de mot de passe !

Insolite : Lettre d’un pirate à Ubisoft

Catégories populaires

A PROPOS

SUIVEZ-NOUS !