Petya Ransomware : Le point de vue de FireEye

0
89

Le 27 juin 2017, plusieurs organisations – notamment en Europe – ont signalé des perturbations importantes qu’elles attribuent à Petya ransomware. Sur la base des informations initiales, cette variante de la Petya ransomware peut se propager via l’exploit EternalBlue utilisé dans l’attaque WannaCry du mois dernier.

Communiqué de presse – Les sources fiables et les rapports open source ont suggéré que le vecteur d’infection initial pour cette campagne était une mise à jour qui avait été corrompu pour la suite de logiciels MeDoc, un progiciel utilisé par de nombreuses organisations ukrainiennes. Le calendrier d’une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l’attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d’environ 12h12 UTC. En outre, le site MeDoc affiche actuellement un message d’avertissement en russe indiquant : “Sur nos serveurs se produit une attaque de virus. Nous nous excusons pour les inconvénients temporaires !

Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu’une version modifiée de l’exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d’autres systèmes. L’analyse des artefacts associés à cette campagne est toujours en cours.

FireEye a confirmé les deux exemples suivants liés à cette attaque : 71b6a493388e7d0b40c83ce903bc6b04 + E285b6ce047015943e685e6638bd837e

FireEye a mobilisé un événement de protection communautaire et continue d’enquêter sur ces rapports et l’activité de menace impliquée dans ces incidents perturbateurs. FireEye en tant que service (FaaS) s’engage activement dans le suivi des environnements clients.
Alors que la détection de FireEye s’appuie sur l’analyse comportementale des techniques malveillantes, notre équipe a créé une règle YARA pour aider les entreprises à rechercher de façon rétroactive leurs environnements pour ce malware, ainsi qu’à détecter les activités futures. Notre équipe s’est concentrée sur les techniques d’attaquants malveillants qui sont essentielles au fonctionnement du logiciel malveillant: l’utilisation du lecteur SMB, le langage de demande de rançon, les fonctions sous-jacentes et les API, et les utilitaires systèmes utilisés pour le mouvement latéral.

Contexte supplémentaire :

FireEye continue d’enquêter sur les rapports d’activités de menace impliquées dans ces incidents perturbateurs.

Sur la base de l’analyse initiale, le ransomware utilisé dans cette campagne imite Petya de certaines façons et la page de redémarrage MBR est identique. Cependant, il existe des changements notables pour inclure le mécanisme de propagation et un délai d’heure pour le cryptage des fichiers, ce qui peut être destiné à permettre la propagation. Il est donc possible qu’un vecteur d’infection utilisé dans cette campagne était le logiciel M.E.Doc, qui aurait été utilisé aux fins de la comptabilité fiscale en Ukraine. En outre, les charges utiles associées à la campagne présentent un comportement d’auto-propagation. En outre, il est possible que d’autres vecteurs d’infection initiaux soient également impliqués. Cette activité met en évidence l’importance des organisations qui sécurisent leurs systèmes contre les infections EternalBlue exploit et ransomware.
 
Ces attaques ont été détectées sur des organisations situées dans les pays suivants: Australie, États-Unis, Pologne, Pays-Bas, Norvège, Russie, Ukraine, Inde, Danemark et Espagne.