Un mois après l’attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est diffusée à très grande vitesse mardi après-midi.
Le logiciel malveillant a touché plus de 2 000 entreprises partout dans le monde en moins de 24 heures et la liste de victimes continue de s’allonger.
1. Petya, pire que WannaCry ?
Un mois après l'attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est
diffuséeà très grandevitessemardi après-midi. Le logiciel malveillanta touchéplusde 2 000 entreprisespartoutdansle
monde en moins de 24 heures et la liste de victimes continue de s'allonger.
LES ENTREPRISES STRATÉGIQUES CIBLÉES
Si WannaCry avait ciblé un public assez large pendant sa vague d’attaque, Petya démontre clairement une certaine
préférence pour les administrations et les infrastructures publiques.
Ayantdébuté enUkraine,leransomwareaobligéhiersoir lacentralenucléairede Tchernobyl à contrôlermanuellement
son niveau de radioactivité. Plus d’une centaine d’entreprises stratégiques ont également été paralysées, dont les
principaux fournisseurs énergétiques du pays, les aéroportset les administrations, les services bancaires ou encore les
distributeurs de billets. Le distributeur français Auchan a également été touché sur le territoire ukrainien.
Quelquesheuresaprès,labanque centrale de laRussieet l’undesplusgrosproducteursde pétroleau monde,legroupe
Rosneft,se sont rejointà la liste desétablissementsinfectés. EnEurope,plusieursmultinationales onteuà faire Petya,
tels que : le géant américain de la pharmacie Merck, le spécialiste britannique de la publicité WPP, le premier
transporteur maritime danois Maersk et le plus grand cabinet d’avocats au monde DLA Piper.
La France n’a pas échappé à l’infection etplusieursentreprises se sont vuesobligéesà prendre desmesures d’urgence
pour éviter une éventuelle propagation. Parmi les victimes, nous rappelons le géant des matériaux Saint-Gobainet le
SNCF.
ENCORE UN RANSOMWARE?
Surnommé parfois Petrwrap,GoldenEye,ouencore Nyetya,le ransomware Petyaaété découvertpourla première fois
en mai 2015. Aujourd’hui,nousparlonsd’une nouvelle variante dumalware initial.C’estpourquoi certainsexpertsont
choisi d’employer le terme NotPetya et de traiter la menace comme un nouveau virus.
Petya (ou NotPetya) agit comme tout autre ransomware. Une fois présent sur votre machine, il va forcer le reboot au
boutde seulementquelquesminutes. Ensuite,ilpasse au chiffrementdesdonnées,dontnotammentlesfichiersde type
.doc (Word),.ppt(PowerPoint), .xls(Excel),.pdf,.rar,.zip....À la fin,un message apparaîtà l'écran et vousdemande de
payer une rançon de 300 dollars afin d’obtenir la clé de déchiffrement.
Jusqu’ici,rienne change vraiment.C’estenregardantdeplusprèsle modeopératoirede ce ransomwareque nousavons
découvertlaclé de sa réussite.Eneffet,pours’infiltrersurune machine,Petyafaitappel à plusieurs vecteursd’attaque.
À l’origine, le virus aurait été embarqué dans une mise à jour du logiciel de comptabilité ukrainien MeDoc, ce qui
expliqueraitpourquoi l’Ukraine asubitune partie considérable desdégâts. Enparallèle,selon une alerte CERT,Petyase
propage également via des techniques de phishing (c’est à dire, des pièces jointes malveillantes reçues par courrier
électronique).
Cependant,lacause la plusprobable (etlaplus étonnante) de la propagationdu ransomware reste la persistance de la
faille EternalBlue (#WannaCryEstDeRetour). Nous vous rappelons qu’il s’agit d’une vulnérabilité créée par la NSA et
divulguée par le groupe Shadow Brokers il y a peu de temps. EternalBlue a servit comme rampe de lancement pour
l’affaire WannaCry durant laquelle 3 000 000 d’ordinateurs n’ayant pas effectué leur mise à jour Windows ont été
infectés.
2. QUE RESTE-T-IL A FAIRE...
...si WannaCry nous a rien appris la première fois ?
Si vous êtes déjà infectés, il est impératif de débrancher votre machine du réseau pour éviter que l’infection ne se
propage aux autres appareilsconnectés. Une foislarançon reçu, l’ANSSIvous recommande de ne jamaispayer.Rienne
vous garanti que lespiratestiendrontleurparole.Malgré ces recommandations,prèsde 6 000 dollarsavaientdéjàété
versés hier soir sur le compte des cybercriminels.
Si toutefoisvousn’êtespasinfectés,nousvousconseillonsde téléchargerrapidementlamise àjour MicrosoftWindows
MS17-010. Vous pouvez également limiter l’exposition du service SMB ou faire appel à nos solutions capables de
détecter, ainsi que de prévenir ce type de cyber-attaque.
Si vous avez déjà effectué la mise à jour (avant ou après l’incident WannaCry), il est préférable de ne pas ouvrir les
documents reçus par mail sans consulter au préalable l’expéditeur.
POURQUOI EN SOMMES-NOUS ARRIVÉS LÀ ?
Les conclusions d’aujourd’hui sur l’état actuel de la cybersécurité sont plutôt tristes.Cependant, il n’ya pas qu’un seul
responsable danstoute cette histoire.L’effetWannaCry/Petyaestdevenuréalité àcause d’unenchaînementd’erreurs
et d’un manque de vigilance vis-à-vis les bonnes pratiques en cybersécurité.
Premier coupable: les cybercriminels. Si cette attaque a été possible aujourd’hui, c’est principalement à cause d’un
certain groupe de pirates informatiques – Shadow Brokers, qu’ont fait circuler dans la nature de nombreuses failles.
Deuxième coupable: la NSA. Développer des cyber-armes c’est un acte très risqué. L’agence nationale de sécurité
américaine ne devrait pas être exonéré de sa responsabilité.
Troisième coupable: les entreprises. Si vousêtestentésàpointerdu doigtdans ladirectionduMicrosoft,ce n’estpasle
cas. Le géant avait déjà publié un correctif Windows, même avant l’apparition de WannaCry. Le seul problème ? Les
misesà jourdoiventparfoisêtre déclenchéesde manière manuelle.Connaissantlanature humaine,laplupartdes gens
ont tardé à effectué le correctif car ils se disent que la cybersécurité c’est un sujet qui ne les concerne pas.
Ce constat pousse lesexperts d’ITrustàsurveillerenpermanence l’étatde l’artdudomaine de lacybersécurité et,par
conséquent,d’agiràce niveau-làentantqu’ambassadeursdanslapoursuite de lasensibilisationdesutilisateurs.Pour
plusde conseilssurcommentacquérirune cyber-routine efficace etne plus se trouverducôté des « coupables »,vous
pouvezconsulterles10faillesde sécurité lesplusrencontrées ici.
Liens :
https://www.itrust.fr/petya-pire-que-wannacry/
https://www.reveelium.com/fr/petya-ransomware-worse-than-wannacry/