Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Petya, pire que WannaCry ?

64 views

Published on

Un mois après l’attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est diffusée à très grande vitesse mardi après-midi.

Le logiciel malveillant a touché plus de 2 000 entreprises partout dans le monde en moins de 24 heures et la liste de victimes continue de s’allonger.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Petya, pire que WannaCry ?

  1. 1. Petya, pire que WannaCry ? Un mois après l'attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est diffuséeà très grandevitessemardi après-midi. Le logiciel malveillanta touchéplusde 2 000 entreprisespartoutdansle monde en moins de 24 heures et la liste de victimes continue de s'allonger. LES ENTREPRISES STRATÉGIQUES CIBLÉES Si WannaCry avait ciblé un public assez large pendant sa vague d’attaque, Petya démontre clairement une certaine préférence pour les administrations et les infrastructures publiques. Ayantdébuté enUkraine,leransomwareaobligéhiersoir lacentralenucléairede Tchernobyl à contrôlermanuellement son niveau de radioactivité. Plus d’une centaine d’entreprises stratégiques ont également été paralysées, dont les principaux fournisseurs énergétiques du pays, les aéroportset les administrations, les services bancaires ou encore les distributeurs de billets. Le distributeur français Auchan a également été touché sur le territoire ukrainien. Quelquesheuresaprès,labanque centrale de laRussieet l’undesplusgrosproducteursde pétroleau monde,legroupe Rosneft,se sont rejointà la liste desétablissementsinfectés. EnEurope,plusieursmultinationales onteuà faire Petya, tels que : le géant américain de la pharmacie Merck, le spécialiste britannique de la publicité WPP, le premier transporteur maritime danois Maersk et le plus grand cabinet d’avocats au monde DLA Piper. La France n’a pas échappé à l’infection etplusieursentreprises se sont vuesobligéesà prendre desmesures d’urgence pour éviter une éventuelle propagation. Parmi les victimes, nous rappelons le géant des matériaux Saint-Gobainet le SNCF. ENCORE UN RANSOMWARE? Surnommé parfois Petrwrap,GoldenEye,ouencore Nyetya,le ransomware Petyaaété découvertpourla première fois en mai 2015. Aujourd’hui,nousparlonsd’une nouvelle variante dumalware initial.C’estpourquoi certainsexpertsont choisi d’employer le terme NotPetya et de traiter la menace comme un nouveau virus. Petya (ou NotPetya) agit comme tout autre ransomware. Une fois présent sur votre machine, il va forcer le reboot au boutde seulementquelquesminutes. Ensuite,ilpasse au chiffrementdesdonnées,dontnotammentlesfichiersde type .doc (Word),.ppt(PowerPoint), .xls(Excel),.pdf,.rar,.zip....À la fin,un message apparaîtà l'écran et vousdemande de payer une rançon de 300 dollars afin d’obtenir la clé de déchiffrement. Jusqu’ici,rienne change vraiment.C’estenregardantdeplusprèsle modeopératoirede ce ransomwareque nousavons découvertlaclé de sa réussite.Eneffet,pours’infiltrersurune machine,Petyafaitappel à plusieurs vecteursd’attaque. À l’origine, le virus aurait été embarqué dans une mise à jour du logiciel de comptabilité ukrainien MeDoc, ce qui expliqueraitpourquoi l’Ukraine asubitune partie considérable desdégâts. Enparallèle,selon une alerte CERT,Petyase propage également via des techniques de phishing (c’est à dire, des pièces jointes malveillantes reçues par courrier électronique). Cependant,lacause la plusprobable (etlaplus étonnante) de la propagationdu ransomware reste la persistance de la faille EternalBlue (#WannaCryEstDeRetour). Nous vous rappelons qu’il s’agit d’une vulnérabilité créée par la NSA et divulguée par le groupe Shadow Brokers il y a peu de temps. EternalBlue a servit comme rampe de lancement pour l’affaire WannaCry durant laquelle 3 000 000 d’ordinateurs n’ayant pas effectué leur mise à jour Windows ont été infectés.
  2. 2. QUE RESTE-T-IL A FAIRE... ...si WannaCry nous a rien appris la première fois ? Si vous êtes déjà infectés, il est impératif de débrancher votre machine du réseau pour éviter que l’infection ne se propage aux autres appareilsconnectés. Une foislarançon reçu, l’ANSSIvous recommande de ne jamaispayer.Rienne vous garanti que lespiratestiendrontleurparole.Malgré ces recommandations,prèsde 6 000 dollarsavaientdéjàété versés hier soir sur le compte des cybercriminels. Si toutefoisvousn’êtespasinfectés,nousvousconseillonsde téléchargerrapidementlamise àjour MicrosoftWindows MS17-010. Vous pouvez également limiter l’exposition du service SMB ou faire appel à nos solutions capables de détecter, ainsi que de prévenir ce type de cyber-attaque. Si vous avez déjà effectué la mise à jour (avant ou après l’incident WannaCry), il est préférable de ne pas ouvrir les documents reçus par mail sans consulter au préalable l’expéditeur. POURQUOI EN SOMMES-NOUS ARRIVÉS LÀ ? Les conclusions d’aujourd’hui sur l’état actuel de la cybersécurité sont plutôt tristes.Cependant, il n’ya pas qu’un seul responsable danstoute cette histoire.L’effetWannaCry/Petyaestdevenuréalité àcause d’unenchaînementd’erreurs et d’un manque de vigilance vis-à-vis les bonnes pratiques en cybersécurité. Premier coupable: les cybercriminels. Si cette attaque a été possible aujourd’hui, c’est principalement à cause d’un certain groupe de pirates informatiques – Shadow Brokers, qu’ont fait circuler dans la nature de nombreuses failles. Deuxième coupable: la NSA. Développer des cyber-armes c’est un acte très risqué. L’agence nationale de sécurité américaine ne devrait pas être exonéré de sa responsabilité. Troisième coupable: les entreprises. Si vousêtestentésàpointerdu doigtdans ladirectionduMicrosoft,ce n’estpasle cas. Le géant avait déjà publié un correctif Windows, même avant l’apparition de WannaCry. Le seul problème ? Les misesà jourdoiventparfoisêtre déclenchéesde manière manuelle.Connaissantlanature humaine,laplupartdes gens ont tardé à effectué le correctif car ils se disent que la cybersécurité c’est un sujet qui ne les concerne pas. Ce constat pousse lesexperts d’ITrustàsurveillerenpermanence l’étatde l’artdudomaine de lacybersécurité et,par conséquent,d’agiràce niveau-làentantqu’ambassadeursdanslapoursuite de lasensibilisationdesutilisateurs.Pour plusde conseilssurcommentacquérirune cyber-routine efficace etne plus se trouverducôté des « coupables »,vous pouvezconsulterles10faillesde sécurité lesplusrencontrées ici. Liens : https://www.itrust.fr/petya-pire-que-wannacry/ https://www.reveelium.com/fr/petya-ransomware-worse-than-wannacry/

×