L’objectif de Petya est bel et bien de saboter et de détruire les ordinateurs, sous couvert d’un ransomware. Une mauvaise nouvelle pour les victimes qui pourront difficilement récupérer leurs données.
L’objectif de Petya est bel et bien de saboter et de détruire les ordinateurs, sous couvert d’un ransomware. Une mauvaise nouvelle pour les victimes qui pourront difficilement récupérer leurs données.
D’après les dernières analyses des chercheurs en cybersécurité, l’attaque Petya n’est pas un ransomware conçu pour gagner de l’argent. Elle est élaborée pour se diffuser rapidement et causer des dégâts. D’après la rédaction du site silicon.fr : « il suffit d’aller voir sur le portefeuille bitcoin lié à l’opération pour s’en convaincre. Il affiche 45 transactions pour un montant d’environ 10 000 dollars. »
La variante actuelle de Petya provoque des dommages permanents et irréversibles sur le disque dur des ordinateurs. Plusieurs multinationales ont été victimes de cette attaque massive : Maersk, Saint-Gobain, Auchan, la SNCF… mettant au chômage technique des milliers de salariés.
Comme Wannacry, Petya a recours à la faille SMB de Windows dévoilée via la mise à jour des exploits EternalBlue et EternalRomance de la NSA. Comme le souligne Vincent Nguyen, directeur du CERT de Wavestone, il semblerait que la faille SMB ne soit pas le vecteur principal de propagation.
Petya est programmé pour récupérer des codes d’accès à d’autres machines ou services directement dans la mémoire de Windows. C’est donc sa diffusion sur le réseau local qui le rend particulièrement dangereux. Se comportant comme un ver, Petya est capable d’aller infecter les réseaux des partenaires de l’entreprise touchée.
Petya utilise comme moyens de propagation :
Les ordinateurs les plus exposés sont à 90% détenteurs d’un système d’exploitation Windows 7 (SP0 ou SP1).
« Cette variante de Petya doit être exécutée par un autre processus avant qu’il n’agisse sur le système. Une fois exécuté, il écrase la zone d’amorce du disque dur et crée une tâche prévue pour réamorcer le système après une attente de 4500 secondes. Ensuite, le logiciel malveillant affiche une rançon qui exige un paiement de 300 $ en bitcoins. Nous déconseillons de payer cette rançon car l’adresse email utilisée par les cyber délinquants a été bloquée par l’hébergeur. Vous n’obtiendrez donc jamais la clé de décryptage », explique Christophe Amiable, expert en sécurité informatique de Konica Minolta.
Il n’existe pour l’instant pas de correctif après infection, hormis la déconnexion de la machine.
Présent sur le marché de la sécurité informatique, Konica Minolta s’appuie sur des solutions et partenariats reconnus sur le marché pour accompagner les entreprises dans leur stratégie de sécurité IT et de continuité d’activité. N’hésitez pas à nous contacter.