Alerte ransomware : Nouvelle infection massive Petya, PetrWrap, NotPetya

Après avoir tant bien que mal lutté contre les familles de ransomware Wannacrypt, le monde se retrouve de nouveau ébranlé avec un virus exploitant les outils de la NSA pour se propager et infecter les machines.

 

On dit qu’apprendre l’histoire est très important et permet de ne pas reproduire les erreurs du passé. Malheureusement, soit nous avons loupé une partie de l’histoire, soit nous n’en avons rien tiré de bon !

Back to the Future…

Il y a maintenant quelques semaines, un ransomware du nom de Wannacry a fait parler de lui puisqu’il a infecté des centaines de milliers de machines sur Internet. Ce dernier se propage en exploitant des failles de sécurité sur le protocole SMBv1 sur Windows via l’outil EternalBlue appartenant à la NSA. Le virus découvert aujourd’hui semble se propager via les mêmes mécanismes que Wannacry et, fait intéressant, touche toujours plus de machines sur Internet.

On peut supposer qu’il s’agit soit d’une infection réalisée il y a plusieurs semaines ou mois et se réveillant seulement maintenant, soit qu’il existe toujours autant de systèmes parfois critiques non patchés accessibles sur Internet.

Pour rappel, un système infecté par EternalBlue reste vulnérable malgré l’application de patch de sécurité ou l’activation de produits de sécurité tant que le système d’exploitation n’est pas rebooté.

Ce que l’on sait de l’attaque

  • D’après la majorité des analystes, le mode de propagation est identique à Wannacry,
  • Le ransomware chiffre chaque fichier avec des algorithmes avancés et remplace entre autre chose le Master Boot Record (MBR) ce qui rend le déchiffrement beaucoup plus difficile,
  • Le malware utilise une version embarquée de mimikatz pour récupérer les crédentiaux utilisateurs et administrateurs sur le poste infecté,
  • Les déplacements latéraux du malware sont réalisés via EternalBlue, EternalRomance, l’abus de PSexec et WMI,
  • Les hackers demandent une rançon de 300 USD en Bitcoin,
  • L’attaque a déjà touché de nombreuses entreprises Européennes.

[update: 29.06.2017]

  • Les pirates n’ont plus la possibilité de donner les clés de déchiffrements car l’adresse e-mail utilisée par les pirates à été désactivé,
  • L’infection initiale viendrait d’une portion de code malicieuse intégrée dans un logiciel légitime en Ukraine,
  • La structure du malware est relativement eloignée de Petya 2016,
  • Les experts définissent ce malware comme un Wiper et non comme un ransomware

Petya or not Petya

En effet, telle est la question. Les experts des différentes sociétés de sécurité ne semblent pas s’accorder sur la source d’inspiration des hackers ayant conçu ce ransomware. Certains affirment qu’il s’agit d’une variante de Petya, un ransomware qui a été découvert l’année dernière. D’autres, comme Kaspersky Labs, prétendent que c’est une nouvelle variété de ransomware n’ayant pas de liens avec Petya.

[update 30.06.2017] De nombreux noms sont attribués à cette menace : Petya, NotPetya, Goldeneye, Expetr, Petrwrap.

Comment lutter contre l’infection ?

Plusieurs mesures immédiates sont vivement recommandées :

  • Mettre à jour tous les systèmes Windows vulnérables à MS17-010,
  • Désactiver le protocole SMBv1 sur les OS et au niveau réseau via le firewall,
  • Mettre à jour les produits de sécurité (Anti-virus, IPS, catégorisation d’URLs, …),
  • Vérifier que le firewall personnel est activé,
  • S’assurer que les backups sont bien réalisés.

Il faut également s’assurer qu’aucun service SMBv1 et Remote Desktop ne soient accessibles depuis Internet. Il est préférable d’utiliser une solution VPN pour l’accès aux partages réseaux et aux machines via Terminal Server.

Bien que l’infection initiale ne semble pas avoir eu lieu au travers d’une campagne e-mail, il est préférable d’implémenter les protections adéquates sur les passerelles et les serveurs e-mail par mesure de prévention.

C’est également le bon moment pour lancer une campagne de sensibilisation des utilisateurs par e-mail ou via votre intranet afin de les avertir que des ransomwares circulent et de redoubler de vigilance lors de la consultation des sites web, des e-mails et l’ouverture des pièces jointes.

Pour limiter les infections via des mouvements latéraux, les entreprises peuvent mettre en place des solutions de Contrôle d’applications sur les postes utilisateurs et les serveurs pour empêcher les utilisateurs de lancer des processus distant.

Que faut-il craindre pour la Suisse ?

Lors de la vague d’attaques du Ransomware Wannacry, la Suisse a été globalement épargnée. Notre analyse avait révélé que seules quelques 1500 machines étaient potentiellement vulnérables à EternalBlue.

Si cette nouvelle vague d’attaques utilise les mêmes méthodes de propagations, l’impact sur la Suisse devrait être également limité.

[update: 30.06.2017] Plusieurs entreprises présentes en Suisse ont été touché par ce malware.

Analyses et Indicateurs de compromissions

Analyse Virus Total

Hybrid Analysis

Articles et réponse des éditeurs

Govcert : Notes About The NotPetya Ransomware

Forcepoint : Is this Petya, NotPetya, GoldenEye, ExPetr, or PetrWrap?

Check Point : Preventing Petya – stopping the next ransomware attack

McAfee : New Variant of Petya Ransomware Spreading Like Wildfire

Information

Téléphone :
+41 22 727 05 56

E-mail:
info@e-xpertsolutions.com

Prenez contact