Ransomware Petya :et si nous ne regardions pas au bon endroit ?
Un nouveau ransomware est en train de défrayer la chronique, un mois à peine après Wannacry.
Ce ransomware chiffre vos fichiers ou le disque dur de votre ordinateur, le rendant ainsi inutilisable, vous faisant prendre le risque de perdre des données, mais aussi de bloquer le fonctionnement de votre entreprise.
Le point sur cette nouvelle agression.
Une attaque grand format
Nous appellerons ce nouveau ransomware Petya dans cet article pour des raisons pratiques, même si son nom fait encore débat dans la communauté des chercheurs en sécurité informatique dans laquelle vous le trouverez nommé : « Petya« , « NotPetya« , « GoldenEye« , « PetrWrap« , « NyietPetya » etc.
Petya a touché des dizaines de milliers d’ordinateurs dans plus de 65 pays. Cette vague est vraisemblablement partie d’Ukraine puis a infecté des multinationales et des grandes entreprises dans le reste du monde, Russie, Angleterre, France… tels que la banque Ukrainienne Oschadbang, le géant maritime danois Maersk, le groupe de publicité britannique WPP ou les groupes français Saint Gobain et Auchan. Cette vague s’est propagée aussi vite que Wannacry.
Un mode de fonctionnement inédit, basé sur des outils connus
Contrairement à Wannacry qui scannait tout Internet pour se répliquer, Petya ne s’occupe que d’infecter les postes de son réseau local à proximité. Il utilise la même faille que Wannacry (appelée Eternal Blue, corrigée par le bulletin de sécurité de Microsoft MS017-10). Si cette faille est corrigée, alors Petya utilise des outils de gestions légitimes de Microsoft (psexec, wmi) pour déployer des programmes en utilisant la confiance légitime que s’accordent les ordinateurs windows au sein d’un domaine Active Directory.
Le virus va alors tenter de s’arroger les droits administrateurs. S’il y parvient, il reboote la machine et chiffre le disque au redémarrage en affichant une tête de mort rouge et la demande de rançon (300 $ en bitcoins).
S’il ne parvient pas à acquérir les droits administrateurs, alors il chiffre des fichiers locaux du disque (fichiers office, et personnels de l’utilisateur) puis affiche la demande de rançon (300 $ en bitcoins).
Si vous êtes infectés par Petya, ne payez la rançon en aucun cas. La boîte mail censée recevoir les paiements en bitcoin est bloquée, ceci signifiant que même après paiement, vous ne pourrez pas joindre les pirates pour obtenir les clés de déchiffrement. Les analystes en sécurité semblent également avoir détecté un bug empêchant le déchiffrement du disque dur même après payement de la rançon, ce qui est une raison supplémentaire pour ne pas payer.
Nous pourrions étudier le fonctionnement de ce ransomware, ce qui est passionnant et très technique, mais il nous semble plus intéressant de regarder ailleurs : comment Petya est-il arrivé sur les postes ?
Propagation ciblée et nouveau vecteur d’infection
Et nous touchons au cœur d’un nouveau problème. Dans l’état actuel des analyses, les infections initiales de Petya ont été réalisées par le biais d’une mise à jour automatique d’un logiciel appelé M.E.Doc, logiciel ukrainien de comptabilité. Des pirates ont vraisemblablement pris le contrôle du site web de M.E.Doc et ont remplacé les mises à jours légitimes de ce programme par Petya.
Les utilisateurs de M.E.Doc ont téléchargé la mise à jour, et ont ainsi fait rentrer le loup dans la bergerie ! C’est un mode de fonctionnement particulièrement percutant pour les pirates :
- les logiciels se mettent à jour
- c’est autorisé par les politiques de sécurité
C’est un point qui nous paraît crucial. Contre les virus, nous avons les antivirus, contre les attaques réseaux nous avons les firewalls, mais qu’avons-nous contre les programmes légitimes qui se transforment en outil de destruction via leur système de mise à jour automatique ?
Pour cette raison, Petya marque un tournant dans la lutte informatique en ouvrant un nouveau champ d’attaque, et un boulevard de nouvelles possibilités pour les nouvelles attaques.
Finalement, peu importe son nom, Petya, NotPetya, Nyetya ou autre. Il faut prendre en considération ce nouveau vecteur d’attaque et l’intégrer dans son schéma de défense et de sécurité.
La sécurité en profondeur prouve une fois de plus son efficacité :
1 – vérifier l’état de santé de votre structure et sa remise « au propre » afin de partir sur des bases saines
2 – sécuriser les postes, le réseau, l’administration, et identifier vos données sensibles pour adapter leur protection
3 – authentifier et contrôler les accès, gérer le nomadisme
4 – maintenir le SI à jour
5 – mettre en place un plan de remédiation d’activité et un plan de continuité d’activité (PRA et PCA) + un système de sauvegardes efficace
6 – sensibiliser et apprendre des bons gestes afin de limiter au maximum les possibilités d’intrusion dans votre structure
Les experts de Certilience pourront vous aider à faire le point sur votre existant et prendre les mesures nécessaires.
Faut-il s’inquiéter de Petya ?
De petya, non, son analyse fine semble plutôt s’orienter vers une menace géopolitique ciblée contre l’Ukraine en utilisant l’outil informatique. Nous ne rentrerons pas dans ce débat. Mais en suivant cette analyse, Petya ne présente pas une menace permanente, mais plutôt un fusil à un coup.
Par contre, il faut s’inquiéter de ce nouveau vecteur d’attaque : l’infection par des mises à jour vérolées de programmes légitimes.