En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
BlueMind_Nouvelle version_leaderboard animée

Saint-Gobain, la centrale de Tchernobyl … Comment se répand Petya, le malware à l’origine des cyberattaques en cours ?

GlobalK_Azure _pave

Quel est ce nouveau ransomware qui attaque les système informatiques des banques et entreprises ukrainiennes et d’autres entreprises dans le monde depuis hier mardi 27 juin ?

De nombreux groupes dans le monde, dont Saint-Gobain, le groupe Auchan en Ukraine, le laboratoire américain Merck, le géant publicitaire britannique WPP et même la centrale nucléaire de Tchernobyl ont été touchés par un nouveau malware. Des attaques que FireEye a détecté en Australie, Pologne, Espagne, Norvège, Russie, Ukraine, Inde, aux Etats-Unis, Pays-Bas et Danemark. Comment fonctionne-t-il ?  « Ce ransomware, appelé Petwrap, repose sur une ancienne variante de Petya issue du malware GoldenEye de décembre 2016« , indique Phil Richards, Chief Information Security Officer chez Ivanti. Ce qui le caractérise, c’est qu’il inclut également « le célèbre exploit SMB EternalBlue qui a été créé par la NSA et volé par le groupe de pirates Shadow Brokers en avril 2017« . Le même que celui exploité par le malware WanaCrypt0r/WanaCry pour se répandre au mois de mai dernier, rappelle Rick Howard, Chief Security Officer de Palo Alto Networks. Il s’agit donc d’un bel exemple de deux composants qui se conjuguent pour générer des logiciels malveillants plus pernicieux et résilients.

Le composant Petya comprend de nombreuses fonctionnalités qui permettent aux logiciels malveillants de rester actifs sur les systèmes infectés, y compris en attaquant le Master Boot Record (MBR). Le composant EternalBlue lui permet de proliférer au sein des organisations qui n’ont pas les correctifs adéquats ou les logiciels antivirus / antimalware, explique Phil Richards.

Ce programme malveillant semble avoir pris pour cibles des groupes d’infrastructure en Ukraine tels que des postes de travail gouvernementaux, des compagnies d’électricité, des banques, des guichets automatiques, la télévision publique, les gares, les services postaux, les aéroports et les industriels de l’aviation. Depuis l’infection initiale, celle-ci s’est propagée vers d’autres marchés au-delà de l’Ukraine. Le ransomware demande une rançon équivalente à 300 dollars américains en bitcoins. Selon Palo Alto, hier à 16 heures UTC, 13 paiements avaient été effectués sur le compte des hackers. F-Secure parle lui aujourd’hui de 30 paiements réalisés. Un total qui s’élève, selon Vladimir Kolla, responsable de la Practice Sécurité chez NetXP, à 3155 bitcoins, soit 6 680 euros.

 

petya_1

Le malware modifie le Master Boot Record, causant le crash du système. Quand l’utilisateur reboote son PC, le MBR modifié empêche Windows de se lancer et, à la place, affiche une note réclamant de l’argent à la victime

 

Les faits se déroulent de la manière suivante, explique F-Secure :
-Le fichier malveillant est exécuté
-Une tâche planifiée est créée pour redémarrer la machine infectée après une heure. Voici ce que voit l’utilisateur :

Petya
-En attendant le redémarrage, Petya recherche d’autres machines présentes sur le réseau afin de se propager.
-Après avoir collecté les adresses IP à infecter, Petya exploite la vulnérabilité SMB et dépose une copie du ransomware sur la machine.
-Après le redémarrage, le chiffrement commence et le message réclamant une rançon s’affiche à l’écran.

 

 

Pour Kaspersky Lab, il ne s’agit pas d’une variante de Petya

Pour les analystes de Kaspersky Lab qui enquêtent sur cette attaque, il ne s’agit pas d’une variante du ransomware Petya, mais d’un « nouveau ransomware qui n’a jamais été observé jusqu’à présent. Bien qu’il ait certaines similarités avec Petya, il possède des fonctionnalités complètement différentes.  Nous l’avons appelé ExPetr. » Kaspersky Lab ajoute : « Il semblerait que nous ayons affaire à une attaque complexe qui implique plusieurs vecteurs de compromission. Nous pouvons confirmer que des versions modifiées des exploits EternalBlue & EternalRomance sont utilisées pour la propagation de la menace sur les réseaux d’entreprise. »

 

 

 

Auteur : Juliette Paoli

Saint-Gobain, la centrale de Tchernobyl … Comment se répand Petya, le malware à l’origine des cyberattaques en cours ?
Notez cet article

Laisser un commentaire

Webinaire Signature électronique

Les services de signature électronique, cachet serveur et d’horodatage Universign confèrent une dimension juridique à tous types de documents électroniques : valeur légale, intégrité dans le temps, authenticité des auteurs et des signataires.

Assister au webinaire du 30 novembre

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Les imprimantes sont-elles frappées d’obsolescence programmée ?

    Le 18 septembre dernier, l'association HOP (Halte à l'Obsolescence Programmée) a déposé une plainte contre…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Universign_maitrisez risques signature elec_skycraper
Agenda
livres blancs
Les Livres
Blancs
Universign_maitrisez risques signature elec_skycraper