Vicieuse attaque mondiale d’une variante du rançongiciel Petya

Vicieuse attaque mondiale d’une variante du rançongiciel Petya

petna-rancongiciel-epidemie-blog-FR

L’attaque de Wannacry du mois dernier a retenu l’attention de la presse dans le monde entier. Ces dernières 24 heures ont vu l’apparition fulgurante d’une nouvelle épidémie malveillante qui se répand rapidement en Europe et sur d’autres continents. Le coupable ? Une nouvelle variante de la famille de rançongiciels Petya, également connue sous le nom de Petna dans les cercles de sécurité informatiques. Pour faciliter la lecture, nous appellerons tout au long de cet article la nouvelle menace Petya.

Apparu il y a quelques heures seulement sur la Toile, le rançongiciel a frappé l’Ukraine en particulier, affectant les branches gouvernementales, l’aéroport de Kiev, les lignes de métro, le fournisseur national d’énergie Ukrenergo, la banque centrale et même la centrale nucléaire de Tchernobyl.

D’autres infections ont été confirmées par des entreprises d’autres régions d’Europe, notamment l’agence de publicité britannique WPP, la société française de construction Saint-Gobain, la société pétrolière russe Rosneft et le géant portugais AP Moller-Maersk. Jusqu’à présent, l’infection par rançongiciels a été confirmée dans plus de 14 pays, dont les États-Unis, le Mexique, l’Iran et le Brésil. Nous nous attendons à ce que beaucoup d’autres pays soient touchés.

Le plus surprenant peut-être est le fait que cette dernière variante du rançongiciel Petya utilise le même exploit développé par la NSA qui a permis à Wannacry d’infecter plus de 200 000 ordinateurs en mai de cette année. Malgré les correctifs de sécurité publiés et les conseils largement diffusés sur la Toile, il semble que de nombreuses entreprises n’aient pas tenu compte des conseils des experts en sécurité.

Cette dernière attaque de rançongiciel sera-t-elle encore pire que Wannacry ? Et que peut-on faire pour sécuriser son ordinateur et ses réseaux?

Le rançongiciel Petya en bref

D’une certaine manière, la dernière variante de Petya semble être étroitement liée à la famille de rançongiciels Petya existante. Petya a été découvert pour la première fois fin mars 2016. Ce qui rend Petya unique ? L’implémentation de son propre petit système d’exploitation qu’il installe et démarre, au lieu de s’appuyer sur Windows, afin de pouvoir chiffrer au démarrage suivant diverses structures critiques du système de fichiers sur le disque de démarrage. La nouvelle variante de Petya a copié cette méthode, et quasiment l’entièreté du code du système d’exploitation de Petya, mais met en œuvre ses propres méthodes de diffusion, de chiffrement de fichiers et d’infection du système.

Quand il réussit à infecter un système, Petya affiche ensuite un écran de demande de rançon, disponible en anglais seulement, exigeant le paiement en bitcoins de l’équivalent de 300 $, dans un portefeuille associé à une adresse posteo.net :

petya-ransom-note

Demande de rançon de Petya affichée une fois chiffrement réussi.

À l’heure où nous écrivons ces quelques lignes, 4 bitcoins ont été payés via 45 transactions, ce qui a permis au développeur du rançongiciel d’empocher la coquette somme de plus de 10 200 $ en quelques heures. Bien que ce montant soit relativement faible, il est encore tôt et, compte tenu de la propagation rapide, nous sommes certains qu’un plus grand nombre de victimes paieront la rançon pour récupérer leurs fichiers.

Comment Petya infecte-t-il ses victimes ?

On a découvert que la vague initiale d’infection par le rançongiciel Petya remonte au piratage d’un fournisseur de logiciels de comptabilité ukrainien populaire MeDoc. Des attaquants inconnus ont eu accès aux serveurs de mise à jour du logiciel et ont livré le rançongiciel Petya comme mise à jour logicielle aux clients de l’entreprise. Des méthodes similaires ont été utilisées dans le passé par des familles de rançongiciels comme XData pour diffuser la première vague d’attaques.

Après infection initiale d’un certain nombre de systèmes, Petya a pu se propager rapidement par le même exploit que celui utilisé par la NSA, qui avait été divulgué par le groupe Shadow Brokers et également été utilisé par WannaCry. L’exploit, connu sous le nom d’ETERNALBLUE, exploite une faille du protocole Microsoft SMBv1, permettant à un attaquant de prendre le contrôle des systèmes qui :

  • ont activé le protocole SMBv1
  • sont accessibles depuis Internet et
  • qui n’ont pas installé le correctif MS17-010 publié en mars 2017

Si l’exploit ETERNALBLUE réussit à pénétrer dans un système, il y installe une porte dérobée dont le code s’appelle DOUBLEPULSAR. DOUBLEPULSAR est utilisé par le logiciel malveillant pour s’auto-transmettre au système exploité et s’auto-exécuter.

En outre, Petya utilise également diverses fonctionnalités administratives intégrées dans Windows pour se propager sur un réseau compromis. Cela signifie qu’attaquer une seule machine dont le SO est obsolète peut suffire pour que tout un réseau soit infecté, même si le système d’exploitation des autres machines a été mis à jour. Petya utilise Windows Management Instrumentation (WMI) et l’outil populaire PsExec en combinaison avec des partages réseau administratifs afin de faciliter la propagation latérale du rançongiciel au sein du réseau local.

Comment le rançongiciel Petya chiffre-t-il vos fichiers ?

Petya se compose de deux modules de rançongiciel différents. Le premier module ressemble très fortement aux familles de rançongiciels classiques. Il chiffre jusqu’au 1er Mo de fichiers avec l’une de ces extensions :

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Pour chiffrer les fichiers, il utilise l’algorithme AES avec une clé de 128 bits. Cette clé est ensuite chiffrée à l’aide d’une clé publique RSA intégrée dans l’exécutable du rançongiciel. Découvrez-en plus dans notre article dédié au chiffrement sur la façon dont le rançongiciel utilise le RSA et l’AES pour chiffrer les fichiers en toute sécurité.

Le deuxième module a été copié directement de la famille de rançongiciel Petya. Il se compose d’un petit système d’exploitation personnalisé qui est installé sur le Master Boot Record (MBR ou zone amorce) du système, pour peu que le système puisse démarrer via MBR et que le rançongiciel puisse obtenir les droits requis. Une fois le système d’exploitation de Petya lancé, il localise et chiffre la Master File Table du lecteur de démarrage à l’aide du chiffrement du flux Salsa20.

La Master File Table est une structure de données interne du système de fichiers Windows NTFS. Elle consiste essentiellement à garder la trace de l’emplacement exact des données de chaque fichier sur le disque. En outre, le système d’exploitation du rançongiciel Petya chiffre également les premières phases de chaque fichier, afin d’empêcher les outils de récupération de fichiers de fonctionner correctement. Sans la Master File Table, Windows ne comprend pas la logique des données sur le disque, verrouillant le système de l’utilisateur qui ne peut plus y avoir accès.

Comment me protéger du rançongiciel Petya ?

Les conseils que nous avions donnés lors de l’attaque de WannaCry demeurent d’actualité dans le cas de Petya. À titre de mesure immédiate à prendre, assurez-vous d’avoir installé les dernières mises à jour de sécurité sur vos ordinateurs et serveurs Windows. Suite à l’épidémie antérieure, Microsoft a pris la mesure inhabituelle de publier des correctifs de sécurité pour les “systèmes plus pris en charge” tels que Windows XP et Windows Server 2003, donc même ces systèmes peuvent être mis à jour.

Comme expliqué dans notre article sur les rançongiciels, la meilleure protection reste une stratégie de sauvegarde fiable et éprouvée, d’autant plus que le chiffrement utilisé par le rançongiciel Petya est sécurisé. La seule façon de récupérer les données est de payer l’auteur du rançongiciel ou de procéder à une restauration de vos données à partir de votre dernière sauvegarde. Installer les mises à jour critiques de Windows est également une étape très importante du processus de protection d’un système, car le vecteur d’infection principal de Petya jusqu’à présent est l’exploit ETERNALBLUE SMBv1, pour lequel un correctif a déjà été publié il y a plusieurs mois déjà.

Vous serez heureux d’apprendre que le module Anti-Ransomware d’Emsisoft, qui fait partie de notre technologie Analyse de comportement compris dans l’Emsisoft Anti-Malware et l’Emsisoft Internet Security, a prouvé être la deuxième meilleure arme de défense après les sauvegardes régulières, car il a bloqué toutes les tentatives du rançongiciel d’infection des systèmes par le biais de la porte dérobée DOUBLEPULSAR et, de cette façon, a à nouveau protégé nos utilisateurs de cette famille de rançongiciels et de centaines d’autres d’autres sans même recourir aux signatures.

Petya-ransomware-emsisoft-protects-FR

Les utilisateurs de l’Emsisoft Anti-Malware et de l’Emsisoft Internet Security sont protégés contre le rançongiciel Petya.

Nous considérons que les rançongiciels sont l’une des plus grandes menaces de l’année écoulée, et nous avons l’intention de faire de notre mieux pour continuer à exceller dans la lutte contre les menaces malveillantes cette année et les suivantes, afin de protéger nos utilisateurs aussi longtemps que possible.

CTA_EAM_Ransomware_FR