Accueil Cybersécurité Cyberattaque mondiale : un site web ukrainien est l’une des sources de...

Cyberattaque mondiale : un site web ukrainien est l’une des sources de l’infection, selon Kaspersky

Ransomware
Ransomware sur PC

Les chercheurs de Kaspersky Lab viennent de l’affirmer : l’une des sources d’infection du ransomware qui vise depuis hier de nombreuses entreprises (nommé ExPetr par le spécialiste de la sécurité) est un site web ukrainien consacré à la région Bakhmout.

« Les chercheurs de Kaspersky Lab continuent leur enquête sur l’attaque de ransomware ExPetr. A date, leur plus importante découverte concerne un site web ukrainien pour la région de Bakhmout. Ce site web a été utilisé pour propager le ransomware et son fichier malicieux vers les visiteurs via la méthode du « drive-by-download », indique l’éditeur d’origine russe. L’infection se réalise donc lors de la visite du site Web.

Un fichier malveillant déguisé en mise à jour Windows

« A notre connaissance, aucun exploit spécifique n’a été utilisé pour infecter les victimes. A la place, les visiteurs ont été mis en contact avec un fichier malveillant déguisé en mise à jour Windows. Nous continuons d’enquêter sur d’autres sources possibles de propagation et d’autres vecteurs d’attaque », poursuit-il.

Les pistes évoquées précédemment

Les pistes d’infection évoquées jusqu’ici parlaient d’une possible mise à jour corrompue d’un logiciel de comptabilité ukrainien MeDoc. Une piste privilégiée par Microsoft, comme il l’affirme sur l’un de ses blogs. FireEye opte aussi pour cette explication : » Le calendrier d’une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l’attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d’environ 12h12 UTC« . Le centre de surveillance interne de Bitdefender, éditeur roumain, montre aussi que certaines infections ont été déclenchées par la mise à jour compromise de ce logiciel de comptabilité. « Certains de nos clients en Ukraine, chez qui nos solutions ont intercepté l’attaque, montrent clairement que le fichier explorer.exe lance le démarrage du fichier ezvit.exe (le binaire de l’application comptable) qui, à son tour, exécute rundll32.exe avec la DLL (Dynamic Link Library, en français bibliothèque de liens dynamiques) du ransomware en guise de paramètre. » « Cela fait de l’Ukraine le point de départ de la propagation du ransomware à travers les réseaux VPN, des sièges d’entreprises aux autres succursales et filiales« , affirme l’éditeur qui conseille à toutes les entreprises ayant des bureaux en Ukraine « de rester à l’affût et de surveiller les connexions VPN reliant les filiales« . L’éditeur de sécurité souligne toutefois qu’il existe d’autres vecteurs d’infection qu’il étudie en ce moment. Le centre gouvernemental de veille, d’alerte et de réponses aux incidents (CERT) mentionne aussi la possibilité d’une infection par MeDoc, citant Microsoft, ainsi que celle d’une faille dans un format de fichier texte Microsoft RTF. Le virus s’y cacherait dans une pièce jointe par mail  : « Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017-0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant. »