Décortiquons l’attaque du rançongiciel Petya

Décortiquons l’attaque du rançongiciel Petya

petya-ransomware-analysis-banner

Tel le Phénix, des cendres de WannaCry renaît une nouvelle menace du doux nom de Petya. Originaire d’Europe de l’Est, le rançongiciel Petya a fait son apparition dévastatrice le 27 juin, infectant rapidement un certain nombre d’organisations de renom en Ukraine et en Russie, avant d’étendre les mailles de son filet à de plus lointains horizons. Des entreprises en Amérique du Sud, aux États-Unis et en Asie ont signalé être tombées victimes aux mains de Petya.

Ce qui rend l’épidémie encore plus inquiétante est le fait que l’itération actuelle de Petya utilise exactement le même exploit de la NSA utilisé par WannaCry – une faille à laquelle on peut facilement remédier en suivant les conseils des experts en sécurité informatique et en téléchargeant les derniers correctifs de sécurité de Microsoft. Cependant, compte tenu de l’impact de Petya et de son taux d’infection relativement élevé, il semble que de nombreuses entreprises n’aient pas pris l’initiative de suivre cette simple procédure, et qu’elles se sont donc retrouvées à risque et vulnérables aux attaques.

Bien que nous puissions totalement sympathiser avec les victimes de Petya, nous voulons également nous “servir” de cette attaque comme exemple à ne pas suivre. Dans cet article, nous allons décortiquer la façon dont l’attaque par le rançongiciel Petya s’est déroulée, les conséquences de cette attaque pour les organisations touchées et ce que vous pouvez faire pour vous assurer que votre ordinateur est à l’abri !

En bref, le rançongiciel Petya, c’est quoi ?

petya-demande-rançon

Petya est assez unique en son genre puisque le rançongiciel s’inspire du famille existante Petya qui circulait déjà en mars 2016. La variante actuelle installe son propre système d’exploitation personnalisé et chiffre les structures du système de fichiers pendant le processus de démarrage, empêchant ainsi les utilisateurs d’accéder à leurs ordinateurs.

Après avoir infecté un système en se faisant passer pour le processus de vérification CHKDSK, Petya affiche un écran de prise de système en otage, intimant les utilisateurs de payer une rançon de 300 $ en bitcoins s’ils souhaitent de nouveau accéder à leur machine et que déchiffrés leurs fichiers soient. Le rançongiciel se répand de la même manière que WannaCry, en exploitant des systèmes connectés à Internet et dotés du protocole SMBv1 activé mais dont le correctif MS17-010 n’a pas été installé.

Découvrez plus en détail sur notre blog les modes de chiffrement de Petya dans l’article couvrant l’attaque originale.

Quel est le but ultime du rançongiciel Petya ?

Nous pensons que l’intention derrière l’attaque de Petya n’est pas celle que l’on avait pu envisagé initialement. Au premier abord, il semblait que le rançongiciel avait été conçu simplement par des cybercriminels pour empocher une grosse cagnotte.

Cependant, une analyse plus approfondie suggère que l’aspect financier n’était probablement qu’un feu de paille. L’utilisation d’un système de paiement en bitcoins, simplifié et traçable, ainsi qu’un moyen de communication vulnérable (une adresse e-mail simple qui a rapidement été désactivée par le fournisseur de messagerie) nous amène à penser que récolter de l’argent via le paiement de la rançon ne pouvait être envisagé comme un moyen durable de faire fortune, ce qui indique que le profit à long terme était un objectif peu probable.

Notre hypothèse s’est révélée correcte. Après tout le battage médiatique généré, moins de quatre bitcoins (environ 10 000 $) ont été payées dans le portefeuille associé à l’attaque Petya. En comparaison, les cybercriminels derrière l’attaque de WannaCry ont empoché pour plus de 51 bitcoins (quelque 130 000 $) de paiement, tandis que l’infâme CryptoLocker de 2013/14 a extorqué plus de 3 millions de dollars à ses victimes.

Donc, si l’objectif principal de Petya n’était pas d’enrichir ses développeurs, quel en était le véritable motif ? Tout comme de nombreux autres experts informatiques, nous pensons que Petya est, en fait, un logiciel destructeur déguisé en rançongiciel. Petya a semé la zizanie au sein d’organisations ciblées – principalement le gouvernement ukrainien, dans ce cas – sous couvert d’une prétendue demande de rançon.

Comment l’attaque par le rançongiciel Petya a-t-elle débuté ?

Nous soupçonnons que l’attaque du rançongiciel Petya ait pour origine M.E.Doc, un fabricant ukrainien de logiciels de comptabilité. Selon diverses sources, dont Microsoft et la police ukrainienne, il a été signalé que le logiciel de M.E.Doc était effectivement porteur du rançongiciel Petya lors d’une mise à jour logicielle. Une fois que les clients de M.E.Doc ont eu téléchargé la mise à jour, ils se sont rendus compte qu’ils avaient, par inadvertance, également téléchargé le rançongiciel, qui s’est rapidement propagé à d’autres organisations principalement concentrées en Ukraine et en Russie.

“On dirait que c’est l’Ukraine et la Russie qui ont principalement été touchées”, a expliqué Sarah, analyste experte en rançongiciels chez Emsisoft.

“Curieusement, l’Ukraine a été ciblée par un grand nombre de rançongiciels ces derniers mois”.

Le 27 juin, M.E.Doc ont publié un message confirmant le bien-fondé des soupçons :

“Attention !

Nos serveurs sont attaqués par un virus informatiques.

Nous vous prions de nous excuser pour cet inconvénient temporaire !”

(Traduction)

Cependant, le communiqué a ensuite été supprimé, et la société a officiellement déclaré qu’en aucun cas ses serveurs n’étaient en quoi que ce soit responsables de la propagation de Petya. Fait intéressant, ce n’est pas la première fois que M.E.Doc est impliqué dans un scandale associé aux rançongiciels. En mai de cette année, les serveurs de l’organisation auraient été vecteurs du rançongiciel XData, qui a causé bien des dégâts en Ukraine sur son passage.

Indépendamment de l’implication de M.E.Doc, il n’est pas moins vrai que Petya s’est propagé rapidement le jour de l’épidémie, faisant penser à de nombreux spécialistes de l’informatique que l’on pouvait s’attendre à bien des perturbations. Heureusement, ces prédictions se sont révélées inexactes, les infections se stabilisant rapidement au cours des premières 24 heures, mais pas avant que quelque 2 000 systèmes aient été infectés à l’échelle mondiale…

Quelles entreprises ont été touchées ?

petya-ransomware-analysis-infection

  1. Gouvernement ukrainien, banques, centrale nucléaire de Tchernobyl

Comme énoncé précédemment, l’Ukraine a été la plus touchée par Petya. Les banques, les aéroports, les fabricants d’aéronefs et un certain nombre de ministères se sont trouvés paralysés par le rançongiciel alors que leurs équipes de sécurité informatique se démenaient pour minimiser l’impact d’une telle attaque, et restaurer l’accès aux systèmes.

“À la suite de ces cyberattaques, des banques ont éprouvé des difficultés avec leurs services clients et leurs opérations bancaires”, a commenté la banque centrale d’Ukraine, dans le communiqué de Reuters.

Les ordinateurs de la centrale nucléaire de Tchernobyl ont également été fermés après que le personnel a détecté le rançongiciel sur son réseau, bien que Vladimir Ilchuk, responsable d’équipe, ait rapidement ajouté qu’on avait à craindre aucun risque radiologique.

       2. Rosneft (Russie)

Les serveurs de Rosneft, le plus grand producteur pétrolier de Russie, ont été compromis et le site Web de l’entreprise a été mis hors ligne. En passant à un système de production secondaire, l’organisation a pu reprendre la production pétrolière en minimisant les complications.

  1. Cadbury (Australie)

Bien que l’épidémie Petya ait principalement ciblée l’Europe de l’Est, le rançongiciel a réussi à se frayer un chemin jusque dans l’hémisphère Sud. Dans la nuit du 27 juin, l’usine de chocolat de Cadbury à Hobart, en Australie, a été forcée d’arrêter sa production après que les travailleurs ont perdu l’accès à leur ordinateur, ne voyant s’afficher que le terrible écran de demande de rançon de Petya.

  1. Maersk (Danemark)

Le géant danois du transport et de la logistique Maersk, la plus grande entreprise maritime au monde, a reconnu que ses systèmes informatiques avaient connu des pannes à répétition à cause de Petya. De nombreuses divisions de l’organisation ont été affectées, notamment le transport par conteneurs, la production de pétrole et de gaz, le forage, les services de remorqueurs et les opérations de pétroliers.

“Nous pouvons confirmer que les systèmes informatiques Maersk sont à l’arrêt sur plusieurs sites et unités d’affaires en raison d’une cyberattaque”, a déclaré un porte-parole de Maersk, cité par Fortune.

  1. WPP, Saint-Gobain et Merck (Angleterre, France, États-Unis)

Au Royaume-Uni, l’agence publicitaire britannique WPP a admis que ses systèmes informatiques avaient été infectés par Petya et que leurs opérations en souffraient les conséquences. La France n’a pas non plus été épargnée par les logiciels malveillants, puisque Saint-Gobain, une société spécialisée dans le matériel de construction, a déclaré avoir été attaquée et qu’ils avaient pris la décision de mettre leurs réseaux hors ligne afin de prévenir toute infection supplémentaire. Outre-atlantique, la société pharmaceutique américaine Merck a été touchée par un logiciel malveillant, bien que l’organisation ait hésité à confirmer qu’il s’agit bien de Petya.

Quelles sont donc les leçons à tirer ?

Tout d’abord, le succès de Petya met en exergue le fait que de nombreuses organisations ne semblent toujours pas prendre au sérieux la menace que représentent les rançongiciels, bien qu’elles aient accès à des outils spécialement conçus pour lutter contre ce type de logiciel malveillant. Des centrales nucléaires aux usines de chocolat en passant par tout autre secteur sans distinction aucune, de nombreuses entreprises et organismes gouvernementaux n’ont pas tenu compte des conseils d’experts ou n’ont pas téléchargé les correctifs de sécurité publié après la débâcle WannaCry.

Leçon à tirer : soyez proactif ! Procédez régulièrement à des sauvegardes, veillez à ce que vos système d’exploitation et logiciels soient toujours à jour, et écoutez les recommandations des experts en sécurité informatique.

Deuxièmement, Petya nous a également appris que les dégâts collatéraux causés par un rançongiciel peuvent atteindre d’innocentes victimes. Bien que l’Ukraine ait peut-être été la cible originale de Petya, le rançongiciel a rapidement infecté par effet ricochet des organisations tierces qui n’étaient pas dans sa ligne de mire, causant de nombreux dégâts en Europe, aux États-Unis et en Australie.

Leçon à tirer : vous pouvez toujours être victime d’un rançongiciel, même si vous n’êtes pas directement visé. Veillez à vous protéger du mieux possible grâce à une solution anti-malware dont la réputation n’est plus à faire en matière de blocage de rançongiciels.

Chez Emsisoft, nous nous dédions au développement de solutions de sécurité informatique complètes qui vous protègent, votre famille et votre entreprise, contre toutes les formes de rançongiciels. Contrairement à tous les autres outils anti-ransomware sur le marché, Emsisoft Anti-Malware et Emsisoft Internet Security interceptent les rançongiciels avant même qu’ils ne chiffrent vos fichiers, en minimisant les perturbations, et en vous faisant économiser temps et argent.

CTA_EAM_Ransomware_FR

Nous vous souhaitons une excellente journée (à l’abri de tout logiciel malveillant !)