Une nouvelle vague d’attaques par ramsonware est en cours depuis le 27 juin 2017. La capitale de l’Ukraine, véritable épicentre de la cyberattaque, a été paralysée par les assauts du malware : métro, banques, aéroport et fournisseur d’énergie étaient hors service. La liste des entreprises touchées par l’attaque ne cesse de prendre de l’ampleur.

Comment fonctionne le ransomware ?

Petya (également appelé Petrwrap) est une des milliers de variantes des ransomwares en circulation ces dernières années. Une fois enraciné dans votre ordinateur, Petya va d’abord forcer le redémarrage avant de chiffrer tout votre contenu. Le dispositif reproduit l’apparence d’une vérification de la validité des données de Windows (chkdsk) alors que le chiffrement des données est en cours. Afin de récupérer la clef qui déchiffrera vos fichiers, vous devrez vous acquitter de la somme de 300 dollars en bitcoins.

Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017-0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant. Microsoft indique que le logiciel de paiement de taxe MEDoc pourrait être un des vecteurs initial d’infection via une mise à jour automatique. Lors de son installation, le ransomware vérifie la présence du fichier C:Windowsperfc avant de continuer son éxecution. Des droits élevés permettent au ransomware de voler les mots de passe locaux. Le ransomware dispose de plusieurs capacité pour se propager sur le réseau:

  • en utilisant les identifiants récupérés sur la machine ;
  • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Quelles sont les cibles ?

Comme souvent, Petya vise essentiellement les grandes entreprises et les administrations dont les PC tournent sous Windows. Le malware nécessite l’usage d’un outil interne au système d’exploitation afin de se propager. De nombreux sites commerciaux ont été hackés telles que les sites de Mars, Nivea, Auchan, SNCF,…

Toutes les versions de Windows semblent pouvoir être affectées dans la mesure où des outils d’administration classiques sont utilisés pour la latéralisation. Les serveurs ainsi que les postes de travail font donc partis du périmètre d’infection possible

D’où vient la cyberattaque ?

Le foyer incontestable de l’attaque de mardi est l’Ukraine. Selon la rumeur, le virus se serait propagé grâce au hack de la mise à jour d’un logiciel de comptabilité ou via des mails de phishing. Ces informations sont encore à confirmer.

Que faire pour s’en protéger ?

 

  1. Veillez à ne pas cliquer sur les pièces jointes nocives (MS Office, Wordpad ou Windows exécutables) et les liens dans vos e-mails. Même si vous avez reçu ce courriel d’un ami ou d’un collègue, lisez-le pour vous assurer que la pièce jointe ou le lien est sécurisé. Les machines infectées envoient des messages infectés masqués comme légitimes mais avec des pièces jointes et des liens dangereux
  2. Assurez-vous que Windows possède toujours les dernières mises à jour de sécurité. Microsoft a publié une mise à jour de sécurité critique MS-17-010 pour résoudre la vulnérabilité exploitée pour toutes les versions compatibles de Microsoft Windows.
  3. Ne restez pas connecté avec un utilisateur privilégié tel qu’un administrateur. Utilisez toujours un utilisateur ordinaire, avec des privilèges limités, pour accéder à vos ordinateurs.
  4. Limitez l’accès aux partages réseau.