Petya, un logiciel de sabotage déguisé en ransomware

petya ransomware konica minolta

L’objectif de Petya est bel et bien de saboter et de détruire les ordinateurs, sous couvert d’un ransomware. Une mauvaise nouvelle pour les victimes qui pourront difficilement récupérer leurs données.

D’après les dernières analyses des chercheurs en cybersécurité, l’attaque Petya n’est pas un ransomware conçu pour gagner de l’argent. Elle est élaborée pour se diffuser rapidement et causer des dégâts. D’après la rédaction du site silicon.fr : « il suffit d’aller voir sur le portefeuille bitcoin lié à l’opération pour s’en convaincre. Il affiche 45 transactions pour un montant d’environ 10 000 dollars. »

La variante actuelle de Petya provoque des dommages permanents et irréversibles sur le disque dur des ordinateurs. Plusieurs multinationales ont été victimes de cette attaque massive : Maersk, Saint-Gobain, Auchan, la SNCF… mettant au chômage technique des milliers de salariés.

Une diffusion sur le réseau local

Comme Wannacry, Petya a recours à la faille SMB de Windows dévoilée via la mise à jour des exploits EternalBlue et EternalRomance de la NSA. Comme le souligne Vincent Nguyen, directeur du CERT de Wavestone, il semblerait que la faille SMB ne soit pas le vecteur principal de propagation.

Petya est programmé pour récupérer des codes d’accès à d’autres machines ou services directement dans la mémoire de Windows. C’est donc sa diffusion sur le réseau local qui le rend particulièrement dangereux. Se comportant comme un ver, Petya est capable d’aller infecter les réseaux des partenaires de l’entreprise touchée.

Son mode opératoire

Petya utilise comme moyens de propagation :

  • le logiciel de gestion des taxes, MeDoc, de l’éditeur ukrainien M.EDoc semble être à l’origine de l’infection. Le système de mise à jour de cet éditeur aurait été compromis via une ligne de commande aboutissant à l’installation de la variante de Petya ;
  • les emails piégés ;
  • le drive by download, c’est-à-dire l’installation automatique du logiciel malveillant après avoir consulté un site programmé pour la mise en place de menaces persistantes avancées (APT) ;
  • l’exploitation directe via EthernaBlue.

Les ordinateurs les plus exposés sont à 90% détenteurs d’un système d’exploitation Windows 7 (SP0 ou SP1).

« Cette variante de Petya doit être exécutée par un autre processus avant qu’il n’agisse sur le système. Une fois exécuté, il écrase la zone d’amorce du disque dur et crée une tâche prévue pour réamorcer le système après une attente de 4500 secondes. Ensuite, le logiciel malveillant affiche une rançon qui exige un paiement de 300 $ en bitcoins. Nous déconseillons de payer cette rançon car l’adresse email utilisée par les cyber délinquants a été bloquée par l’hébergeur. Vous n’obtiendrez donc jamais la clé de décryptage », explique Christophe Amiable, expert en sécurité informatique de Konica Minolta.

Il n’existe pour l’instant pas de correctif après infection, hormis la déconnexion de la machine.

NOS PRECONISATIONS :

  1. Installer le correctif fourni par Microsoft : MS17-010 (Security Update)
  2. Paramétrer le pare-feu pour qu’il bloque la signature SMB vulnerability
  3. Bloquer les connexions entrantes sur le port 445 (SMB) si ouvert
  4. Mettre à jour les signatures anti-virus et firewall
  5. Mettre en place une politique de sécurité pour être protégé durablement et efficacement

Présent sur le marché de la sécurité informatique, Konica Minolta s’appuie sur des solutions et partenariats reconnus sur le marché pour accompagner les entreprises dans leur stratégie de sécurité IT et de continuité d’activité. N’hésitez pas à nous contacter.

 

(Lire aussi l’article sur la cybersécurité)

03 juillet 2017