27 juin 2017: via une variante de Petya nouvelle cyber-attaque mondiale: pourquoi ? Les réponses des principaux experts ( labos et speakers d'éditeurs )

EternalBlue à nouveau utilisé pour répandre

un ransomware

plus puissant que WannaCrypt

 

source ESET Comm. Corporate  

 

 

Pour se diffuser, il utilise une combinaison de l'exploit SMB EternalBlue, utilisée

par WannaCryptor pour se propager dans le réseau via PsExec.

 

 

 

 

 

Ransomware-27-06-2017-Borys

 

Source: christian Borys 2017

 

 

 

 

Détectée par ESET® comme Win32/Diskcoder.C Trojan., une nouvelle attaque de ransomware

liée à la famille Petya cible l’Ukraine. S'il infecte le MBR, le ransomware chiffre l’intégralité

du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa.

Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec. Les experts

ESET espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger

leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware

s’infiltre dans le réseau. Le malware peut alors obtenir des droits d'administrateur

et se propager sur d'autres ordinateurs.

 

 

Apres la premiere vague de cyberattaque : http://cyberisques.com/fr/mots-cles-1/667-dpo-news

-cyberisques-jpbichard-ransomware-wannacry-massive-attack cette seconde vague (GoldenEye) cible

plusieurs acteurs majeurs de nombreux secteurs. 

Rappelons les impacts finaciers imputés à une telle cyberattaque (cf section BONUS en fin d'article). 

 

Pour suivre les cyberattaques: http://map.norsecorp.com/#/

 

 Goldeneyes

 

 

Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques,

les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement

ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook® par le

Premier ministre adjoint de l'Ukraine, Pavlo Rozenko, qui montre qu'un ordinateur est

apparemment chiffré.

La Banque Nationale d'Ukraine a averti sur son site Internet les autres banques :

« Le secteur financier

a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs

du marché financier. »

Forbes a déclaré que bien qu'il semble y avoir des similitudes avec WannaCrypt (d'autres le

décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.

Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de

WannaCrypt. Il proviendrait du Groupe IB : « Si vous voyez ce texte, vos fichiers ne sont plus

accessibles, car ils ont été chiffrés ... Nous vous garantissons que vous pouvez récupérer tous vos

fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de

payer [300 bitcoins]

et acheter la clé de déchiffrement. »

Il semble que l'attaque de ransomware ne soit pas spécifique à l'Ukraine.

 The Independent déclare

que l'Espagne et l'Inde ont également été infectées, ainsi que la compagnie de transport

maritime danoise Maersk® et la société de publicité britannique WPP®.

WPP a depuis confirmé sur Twitter® qu'il a été victime d'une cyberattaque :

« Les systèmes informatiques

de plusieurs entreprises de WPP ont été infectés par une cyberattaque. Nous prenons les mesures

appropriées et nous mettrons à jour nos systèmes au plus vite. »

 

 

 

 

BONUS: 

Les risques financiers liés au numérique et à un systèmes

d’information non sécurisé ou pas suffisamment contrôlé, sont

de plus en plus prégnants rappelle la Compagnie régionale des

commissaires aux comptes de Paris (CRCC) .

 

1,5 million d’euros : il s’agit du montant des les pertes

financières liées aux cyberattaques en France pour 2016*, un coût

pourtant réduit de moitié par un investissement par entreprise

de 3,9 millions d’euros dans la sécurité des systèmes d’information

*enquête annuelle PwC

 

 

Réactions autres éditeurs (speakers et labos): 

 

 Juniper: 

La famille de malwares Petya n'est pas nouvelle et l'un de nos chercheurs a déjà réalisé un post de blog

concernant  ce malware par le passé . Il s'agit d'un ransomware disponible sous forme de service: il épargne

aux cybercriminels de développer leur propre malware.

 

Le ransomware fait en sorte que l'utilisateur infecté ne puisse récupérer ses données qu'après le paiement d'une

rançon équivalant à 300 dollars en bitcoins. Il est important de noter qu'aucun paiement jusqu'à présent n'a abouti à un décryptage réussi.

 

 

Mode de propagation

 

Cette dernière variante utilise trois principaux moyens d'attaque pour se propager:

  • Une fois que le malware s'est exécuté, l'ordinateur infecté tente une connexion à 84.200.16.242/myguy.xls qui est un fichier MS HTA. Cela se traduit par la connexion à french-cooking[.]com qui télécharge et dépose un autre exécutable (myguy.exe, enregistré) sur le système local <random> .exe, pour lequel <random> est un nombre aléatoire compris entre 0 et 65535).

  • Une fois que le ransomware a infecté le poste, il tente d'utiliser le second vecteur, en passant par MS017-010 (Vulnérabilité d'exécution de code à distance SMB de Windows ) et en utilisant l'exploit 'ETERNALBLUE' - un vecteur d'infection basé sur le réseau pour se répandre sur des réseaux internes - soit la même vulnérabilité exploitée par 'WannaCry', le malware qui a fait parlé de lui récemment.

  • Le logiciel malveillant semble exploiter Windows WMI ( Microsoft Windows Management Interface ) pour se répandre sur les réseaux internes si les informations d'identification des administrateurs sont disponibles. La méthode d'escalade des privilèges et / ou le vol d'identité qui facilite cette action est encore en cours d'analyse.

Impact de l'infection.

 

Il semble que ce ransomware visait initialement des cibles en Ukraine, via un logiciel de comptabilité, bien

que des rapports plus récents semblent confirmer que l'attaque affecte également des systèmes en Espagne,

en France, en Russie et en Inde. En effet, un plus grand nombre d'organisations de par le monde pourraient bien  

être affectées au fur et à mesure que les gouvernements et les entreprises du monde entier se retrouvent exclus

de leurs propres machines.

Ce malware est plus malveillant que la plupart des variétés de ransomware. En effet, Petya ne crypte pas uniquement les fichiers sur un système ciblé un par un - il crypte également la table de fichiers maîtres du disque dur (MFT), ce qui qui rend le secteur d'amorçage (MBR) inutilisable et empêche le système de démarrer.

 

 

 

 IBM

Dès le mardi 27 juin, des informations ont commencé à circuler sur des organisations en Ukraine et ailleurs en Europe qui subissaient des attaques de type ransomware. Il est vite apparu que cette attaque, appelée Petya pourrait égaler voire surpasser l'attaque WannaCry du mois de mai.

La propagation de WannaCry a connu un vrai succès parce qu'elle a été alimentée par une vulnérabilité dans le système Windows, et bien que Microsoft ait publié un correctif pour résoudre cette faille, de nombreuses entreprises ne l'ont pas appliqué avant le déclenchement/l'épidémie. Heureusement, les entreprises en dehors de la zone d'attaque initiale de l'Union Européenne ont réussi à patcher leurs systèmes pour éviter un impact international de plus grande ampleur.

Malheureusement, les auteurs de cette variante du ransomware ont appris du passé. L'épidémie actuelle de ransomware Petya peut être transmise à des systèmes non patchés via le même programme que WannaCry, mais elle peut également effectuer un mouvement latéral afin d'infecter des systèmes patchés sur des réseaux connectés à l'aide de « Windows Management Instrumentation Command Line » (WMIC) et PsExec, un outil de commande à distance de Microsoft.

 

Qu'est-ce que Petya ?

La plupart des professionnels de la sécurité signalent le ransomware en tant que Petya, toutefois, au moins une entreprise de sécurité croit qu'il s'agit d'une imitation et non d'une véritable variante de Petya. À l'heure actuelle, IBM X-Force a identifié au moins trois échantillons que nous pensons être des variantes de Petya mises à jour.

Le ransomware Petya est apparu pour la première fois en 2016. Il est unique dans le domaine des ransomwares car il crypte le master boot record (MBR) et le master file table (MFT) sur les hôtes infectés. Petya est souvent déployé avec Mischa, qui agit comme une solution de repli; Si Petya ne peut pas accéder au compte administrateur pour chiffrer le MBR, Mischa lance et crypte des fichiers individuels (de type .DOC, .PPT et .XLS). Un autre aspect unique de Petya est qu'il peut fonctionner même si un système est déconnecté. Il ne nécessite pas de connexion directe à un serveur de commande et de contrôle (C&C).

Dans cette épidémie récente, il semble que la « payload »actuelle de Petya soit distribuée en utilisant le même mécanisme EternalBlue qui faisait partie des fuites appelées Shadow Brokers qui ont alimenté la propagation de WannaCry.

Comme dans l'épidémie WannaCry, ce malware est modulaire. En plus de la « payload » de Petya, certains rapports indiquent qu'il pourrait inclure le cheval de Troyes Loki Bot.

 

Détails techniques

L'épidémie Petya a fait la une pour s'être répandue très rapidement le 27 juin 2017, mais les éléments qui la composent ne sont pas nouveaux.

Mouvement latéral: SMB Wormholes

Une des façons dont Petya se déplace et se propage passe par le scan du port 445 de protocole de contrôle de transmission (TCP) pour identifier et cibler des machines qui utilisent des versions non corrigées du bloc de message serveur (SMB). Si cela vous semble familier suite à vos lectures lors de l'épidémie WannaCry, vous avez raison. C'est le même.

 

Exécution à distance: EternalBlue, WMIC et PsEXEC

Les services de réponse aux incidents et de renseignement d'IBM X-Force (XF-IRIS) ont confirmé que les échantillons de l'épidémie actuelle utilisaient EternalBlue. Selon la publication de Shadow Brokers, EternalBlue exploite la vulnérabilité CVE-2017-0144, qui permet aux attaquants d'exécuter des codes arbitraires sur un système cible. Cela peut inclure un code qui analyse la présence d'un code d'exploitation tel que DOUBLEPULSAR, ou d'analyser des systèmes proches et essayer de les infecter avec un code d'exploitation.

WMIC et PsExec ne sont pas des vulnérabilités : ce sont des outils Microsoft qui aident les administrateurs à gérer les systèmes et les réseaux. WMIC permet aux utilisateurs d'exécuter des processus et des scripts, tandis que PsExec permet à un utilisateur distant de contrôler à distance un système. Entre les mains des administrateurs, ce sont des outils importants et utiles, mais lorsqu'un attaquant y accède, ils peuvent être utilisés pour installer un logiciel malveillant– tel que Petya - sur des systèmes cibles.

Une fois sur le système, le ransomware se copie lui-même dans le répertoire C: \ Windows \ et installe un fichier PE dans C: \ Windows \ dllhost.dat. Pour brouiller les pistes, le ransomware utilise schtasks(outil de planification des tâches Windows) pour créer un fichier de tâches qui redémarre le système à une heure programmée. Pour brouiller davantage les pistes, le ransomware utilise wevtutil.exe pour effacer les journaux de configuration, de système, de sécurité et d'application, et utilise fsutil.exe pour supprimer des informations dans le journal de modifications.

 

Ne payez pas la rançon

De nombreuses entreprises peuvent être tentées de payer la rançon pour remettre leurs systèmes en service. Dans le cas de cette épidémie, il semble que les agresseurs n'ont jamais tenté de restaurer les fichiers aux victimes. À l'avenir, adressez le point de la segmentation et des sauvegardes du réseau afin que, si les systèmes sont verrouillés, ils puissent être déconnectés et restaurés rapidement.

L'entité sécurité d'IBM recommande :

  • De vous assurer que les systèmes sont patchés (MS17-010) et que tous les programmes antivirus sont à jour.
  • De déterminer si les systèmes de sauvegarde sont correctement configurés.
  • De restaurer uniquement à partir de sauvegardes sécurisées avec des snapshots sûrs et connus ou de reconfigurer complètement les systèmes.
  • D'isoler tout système non patché pour éviter les mouvements latéraux de Petya.
  • De vérifier les méthodes de surveillance de tous les systèmes et réseaux critiques.
  • De créer ou conserver des revues régulières de la protection des informations d'identification privilégiées afin d'éviter tout nouvel accès via des outils légitimes sur un réseau.
  • De revoir les plans de réponse aux incidents et de contingence.

 

Du fait de la gravité de cet événement, IBM rend tous ses résultats accessibles publiquement via un recueil X-Force Exchange mise à jour en permanence.

 

 

 

KL:

Kaspersky Lab, en tant que spécialiste de la cyber sécurité, enquête sur cette attaque. Ses premières conclusions :

 

-          Il ne s’agit pas de Petya ;

-          Près de 2000 utilisateurs auraient été ciblés ;

-          Une version modifiée d’un exploit EternalBlue est utilisé ;

-          La France fait partie des pays touchés.

 

« Les analystes de Kaspersky Lab enquêtent actuellement sur une nouvelle vague d’attaques de ransomware qui cible des organisations partout dans le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, comme cela a été publiquement annoncé, mais bien un nouveau ransomware qui n’a jamais été observé jusqu’à présent. C’est pourquoi nous l’avons appelé NotPetya.

Nos données télémétriques indiquent que près de 2000 utilisateurs auraient été attaqués jusqu’à présent. Des organisations en Russie et en Ukraine sont les plus infectées, et d’autres ont également été touchées en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France, aux Etats-Unis et dans d’autres pays.

Il semblerait que nous ayons affaire à une attaque complexe qui implique plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’un exploit EternalBlue modifié est utilisé pour la propagation de la menace, au moins sur les réseaux d’entreprise. 

Nous recommandons à toutes les entreprises de mettre à jour leurs logiciels Windows, de vérifier leur solution de sécurité et de vérifier qu’elles ont un système de sauvegarde actif, ainsi qu’une solution de détection des ransomwares. » 

 

 

F5 Networks:

 

– Commentaire de Vincent Lavergne, expert en cyberattaques chez F5 Networks :

Les fuites d’informations de la NSA/CIA, sources de nouvelles attaques de malwares plus furtifs, plus rapides et plus performants

 

 

Nous vivons une année phare pour les cybercriminels. En mai, Wikileaks a commencé à publier la documentation Vault7 relative aux outils de cyberguerre et de cyberespionnage utilisés par la CIA. En parallèle, le groupe de pirates Shadow Brokers a publié des informations sur les exploits utilisés par la NSA et comprenant notamment l'exploit Windows EternalBlue. Ce dernier a été très rapidement transformé en arme pour devenir le ransomware WannaCry qui a récemment fait une apparition fracassante sur Internet et qui continue de faire de nombreuses victimes. Le ransomware « NotPetya » qui a récemment fait surface en Europe de l'Est avant de se répandre au niveau mondial s'appuierait également sur EternalBlue pour infecter les machines. Ces informations sont plutôt inquiétantes, mais ce qui est pire, c'est la révélation sur la manière dont la communauté du renseignement utilise des outils et des méthodologies pour trouver des vulnérabilités et créer des exploits. Cela rappelle la façon dont le principe d’interchangeabilité des pièces d’Eli Whitney et qui a marqué le début de la révolution industrielle. Les informations issues de ces fuites apportent un plan détaillé sur la façon de construire une fabrique semi-automatisée de logiciels malveillants. Ce mode d'emploi représente l’équivalent d’un saut quantique dans le domaine des techniques de piratage, et les cybercriminels n’ont pas trainé pour apprendre à s’en servir. Ces méthodologies d’agences de renseignement liées à des attaques très puissantes telles que FuzzBunch, Athena/Hera et OddJob sont toutes décrites avec des notes techniques, des instructions de montage et des commentaires expérimentaux. C'est l’équivalent d’un trésor pour quelqu'un qui cherche à construire un système similaire.

 

 

A quoi peut-on s’attendre ?

Des choses effrayantes. Au cours des 12 à 36 prochains mois, nous allons voir les cybercriminels de tous horizons utiliser ces techniques pour créer une nouvelle génération d'attaques. On peut s'attendre à :

 

  • Des tempêtes régulières de logiciels malveillants : Les attaques du type de WannaCry seront la nouvelle norme. Les entreprises doivent se préparer à faire face à des attaques continues s'appuyant sur des exploits zéro day et capables de cibler toutes les applications et toutes les plates-formes. Le rayonnement du coté obscur d'Internet va atteindre un nouveau niveau de toxicité.

 

  • Des leurres parfaits : Avec l’exploitation du big data, de l'apprentissage machine et de moteurs de traitement du langage naturel, on peut s'attendre à ce que les emails de phishing et les faux sites web soient quasiment indiscernables des vrais. Les outils de traitement du langage naturel élimineront les formulations linguistiques maladroites qui permettent souvent d’écarter les faux sites. Il est déjà assez difficile pour nombre d’utilisateurs de discerner la réalité. Cela va être encore pire.

 

  • Des attaques sans clic : Il ne faut pas uniquement imaginer avoir affaire à de nouveaux vers, mais aussi imaginer l'équivalent d'une attaque internet étendue aux services majeurs et même aux plates-formes mobiles. Cela signifie que des attaques cibleront les principales plates-formes applicative et que la simple utilisation d'une application client sur un téléphone pourra impliquer d’être touché par quelque chose de nuisible.

 

  • Des attaques intraçables : Des attaques seront lancées à partir de réseaux C&C qui n'ont jamais été vus avant et ne seront plus jamais revus. L'analyse des domaines pour les réseaux C&C malveillants deviendra un art obsolète. Les filtres de réputation IP deviendront inutiles.

 

Se préparer à l’assaut

 

 

Si on peut s’attendre à des attaques continues exploitant un grand nombre d'exploits zéro day, alors les entreprises vont avoir besoin de fortes capacités de détection intelligente des menaces (threat intelligence), de stratégies de réponse aux incidents et d’une solide stratégie anti-DDoS. Afin de faire face aux nouveaux types d’attaques, les organisations doivent dès à présent mettre en œuvre des mesures techniques et des solutions défensives plus avancées et être sûres d’appliquer les règles de base consistant à patcher et mettre à jour le plus rapidement possible.

 

 

 

FireEye

 

Le 27 juin 2017, plusieurs organisations - notamment en Europe - ont signalé des perturbations importantes qu'elles attribuent à Petya ransomware. Sur la base des informations initiales, cette variante de la Petya ransomware peut se propager via l'exploit EternalBlue utilisé dans l'attaque WannaCry du mois dernier.

Les sources fiables et les rapports open source ont suggéré que le vecteur d'infection initial pour cette campagne était une mise à jour qui avait été corrompu pour la suite de logiciels MeDoc, un progiciel utilisé par de nombreuses organisations ukrainiennes. Le calendrier d'une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l'attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d'environ 12h12 UTC. En outre, le site MeDoc affiche actuellement un message d'avertissement en russe indiquant: "Sur nos serveurs se produit une attaque de virus. Nous nous excusons pour les inconvénients temporaires!"

Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes. L'analyse des artefacts associés à cette campagne est toujours en cours.

 

 

  

 

 

Fortinet: 

 

 Christophe Auberger, Directeur Technique France chez Fortinet

   

Nous étudions une nouvelle variante de ransomware, nommée Petya, qui se propage actuellement dans le monde. Cette menace cible de nombreux secteurs d'activité et organisations, et notamment les infrastructures critiques dans les domaines de l'énergie, de la banque et des transports.

Cette nouvelle génération de ransomware tire avantage de vulnérabilités récentes. La version actuelle capitalise d'ailleurs sur la même vulnérabilité que celle utilisée par Wannacry en mai dernier. Cette récente attaque, nommée Petya, est ce que nous appelons un « ransomworm ». Une telle variante ne se contente pas de cibler une seule organisation mais s'inscrit dans une attaque à périmètre large qui cible tous les dispositifs identifiés et susceptibles d'être infectés par le ver.

Il semble que cette attaque ait été initiée à l'aide d'un fichier Excel qui tire parti d'une vulnérabilité connue de Microsoft Office. Dès qu'un dispositif est infecté par ce vecteur, Petya utilise alors la vulnérabilité associée à WannaCry pour se propager à d'autres équipements. Ce comportement typique d'un ver initie une analyse des serveurs SMB à la recherche de vulnérabilités. Le malware semble se propager via EternalBlue et WMIC. 

Lorsqu'une vulnérabilité est identifiée, Petya s'en prend au MBR (Master Boot Record ou zone amorce), puis affiche une demande de rançon à l'intention de l'utilisateur lui indiquant le chiffrement de ses données et exigeant une somme d'environ $300 à régler en Bitcoins. Il est également précisé que toute tentative de mise à l'arrêt du système infecté aboutira à une perte irréversible des données et fichiers qui y sont hébergés.

Cette approche est quelque peu différente de celles d'autres ransomware qui utilisent un compte à rebours avant suppression des données ou la suppression progressive des fichiers de données. Le principal risque avec la majorité des attaques par ransomware est celui de la perte de données. Petya ne s'en contente pas et va jusqu'à altérer le MBR, avec comme risque, la perte du système dans son intégralité. De plus, ce ransomware initie un redémarrage du système sur un cycle d'une heure, ce qui associe un déni de service à l'attaque.

Curieusement, au-delà des vulnérabilités de Microsoft Office, Petya utilise le même vecteur d'attaque que Wannacry et tire parti des vulnérabilités de Microsoft identifiées par le groupuscule Shadow Brokers plus tôt cette année. Cependant, ce malware utilise un vecteur d'attaque supplémentaire et le patching seul n'est pas suffisant pour stopper totalement l'infection : il s'agit donc d'associer le patching à des outils de sécurité et à des pratiques pertinentes. À titre d'exemple, les utilisateurs de Fortinet étaient protégés après détection et neutralisation des vecteurs d'attaques par nos solutions ATP, IPS et de pare-feu NGFW. Notre équipe dédiée aux antivirus a également mis à disposition une nouvelle signature quelques heures après identification de l'attaque, pour ainsi renforcer la ligne de défense.

  

Cette attaque présente des spécificités particulièrement intéressantes.

 En premier lieu, en dépit de l'annonce des vulnérabilités de Microsoft et des patchs associés, et de la dimension mondiale de l'attaque Wannacry qui s'en est suivie, il y a cependant des milliers d'organisations, et parmi elles certaines en charge d'infrastructures critiques, qui n'ont toujours pas procédé au patching de leurs systèmes. D'autre part, il pourrait bien s'agir d'un test préalable à l'exécution d'attaques futures ciblant de nouvelles vulnérabilités identifiées.

Dans un second temps, du point de vue financier, Wannacry n'a pas rapporté ce que ses concepteurs attendaient de ce malware, les chercheurs en sécurité ayant pu trouver une parade pour neutraliser l'attaque. Petya en revanche, est bien plus sophistiqué, même s'il est encore trop tôt pour savoir si ce malware sera plus rentable que son prédécesseur.

A ce jour, nous sommes sûrs de deux choses : 1) Les organisations sont encore trop nombreuses à se contenter d'une sécurité déficiente. Lorsqu'un malware exploite une vulnérabilité connue et disposant d'un patch depuis plusieurs mois, les victimes sont les premiers coupables. Petya a su cibler des vulnérabilités dont les patchs étaient disponibles depuis un certain temps déjà. 2) Ces mêmes organisations ne disposent pas d'outils pertinents pour détecter ce type d'infection.

Cette année, la famille des ransomware s'est donc enrichie de deux nouveaux venus de poids. Avec Wannacry, les concepteurs de malware ont su, pour la première fois, associer un ransomware à un ver, pour accélérer la propagation du malware et élargir le périmètre d'attaque. Aujourd'hui, avec Petya, nous sommes face à un malware capable de s'en prendre au Master Boot Record, avec des conséquences bien plus graves : en cas de rançon non réglée, ce ne sont plus que les fichiers, d'ailleurs souvent sauvegardés, qui sont perdus. Le risque supplémentaire est de perdre totalement le système infecté.

 Voici quelques recommandations à l'intention des organisations souhaitant se protéger contre ce nouveau malware :

 

Directions informatiques

  • Sauvegardez les fichiers de vos systèmes critiques, avec une copie de ces sauvegardes hors ligne.
  • Assurez-vous de disposer d'un disque et de configurations de référence pour votre système d'exploitation, ce qui vous permettra de restaurer votre poste de travail en toute confiance.
  • Déployez les patchs nécessaires.
  • Assurez-vous de disposer des patchs les plus récents.

Utilisateurs

  • Ne pas exécuter les fichiers joints provenant de sources inconnues.

Sécurité

  • Mettez à disposition les signatures antivirales nécessaires.
  • Utilisez une sandbox pour les fichiers joints.
  • Utilisez un monitoring comportemental.
  • Au niveau des pare-feux, tentez d'identifier les preuves de communications Command & Control.
  • Segmentez votre réseau, pour entraver la propagation du malware et sauvegardez les données qui sont chiffrées.
  • Désactivez le protocole RDP (Remote Desktop Protocol) et/ou assurez-vous que l'authentification est configurée de manière appropriée. De manière générale, il s'agit de limiter la capacité du malware à se propager latéralement.

Conseils généraux

  • En cas d'infection, ne pas régler la rançon.
  • Partagez vos données sur l'infection avec des organisations de confiance, pour aider l'univers de la sécurité à mener ses actions de diagnostic, de confinement et de restauration.

  

 

 

 

 

Acronis - Commentaire de Samy Reguieg, Directeur Général d’Acronis en France

 

« Une nouvelle attaque par Ransomware frappe et affecte de nombreuses sociétés de renom à travers le monde : Bayer, Nivea, Maersk, Merck, Mondelez, Saint Gobain ou WPP. Le fait qu’il puisse s’agir d'une nouvelle version de Petya (détecté pour la première fois en 2016) n’est pas encore confirmé, mais il est clair que ce ransomware utilise le même exploit qui a aidé WannaCry à attirer l'attention des médias : EternalBlue. »

« Malheureusement, avec actuellement plus de 80 entreprises touchées en Ukraine, en Russie et dans divers pays européens, on constate une fois encore que les entreprises ne semblent toujours pas préparées. Il s'agit d'un avertissement et d'une nouvelle démonstration de l'importance de mettre en œuvre une stratégie de sauvegarde des données efficace permettant de se prémunir contre les attaques de type ransomware. Les fichiers importants doivent faire l’objet de sauvegardes régulières, à intervalles réduits, de préférence vers un espace de stockage cloud sécurisé proposé par le fournisseur de la solution de sauvegarde ou sélectionné par l’entreprise. »

« Enfin, il est impératif d’appliquer le patch SMB proposé par Microsoft et d’activer les mises à jour automatiques. Il en va de même pour tous les autres logiciels installés sur les ordinateurs d’une entreprise. Ces mises à jour apportent de nouvelles fonctionnalités ou réparent les failles de sécurité exploitées par les cybercriminels. En installant ces correctifs le plus tôt possible, le système d’information de l’entreprise a moins de chance d’être infiltré par un ransomware. »

 

 

 

 

Varonis – Commentaire de Christophe Badot, Directeur Général France de Varonis

 

« Une cyberattaque mondiale massive qui a débuté en touchant un grand nombre d’ordinateurs du gouvernement Ukrainien s'est depuis répandue dans le monde entier infectant nombre d’infrastructures majeures : banques, grandes entreprises, sociétés de transports, etc. »« Cette attaque par ransomware qui fait écho à WannaCry, a le potentiel de faire beaucoup plus de dégâts, car elle ne semble pas être dotée d’un kill switch (option d’arrêt d’urgence), ce qui avait été le facteur majeur pour arrêter la propagation de WannaCry. Il s'agit d'une nouvelle « attaque mixte », utilisant les mêmes exploits NSA que WannaCry (EternalBlue), mais ajoutant une nouvelle variante de ransomware, baptisée "NotPetya". Celle-ci empêche les victimes de redémarrer leur ordinateur, en chiffrant leurs postes qui affichent ensuite une demande de rançon. Ainsi cette attaque ne se contente pas seulement de chiffrer les données mais elle empêche totalement les ordinateurs de fonctionner. »« 

 

Selon VirusTotal, seuls 4 des 61 logiciels AntiVirus de postes listés étaient capables de détecter cette souche de ransomware lors de son apparition.

 

Cela souligne la nécessité de mettre en place des solutions de défense sans signature et une approche par couche pour la sécurité des données. »« La première chose que les entreprises devraient faire pour éviter d'être touchée est d'appliquer le patch SMB que Microsoft a publié suite à l’attaque WannaCry. Il est, comme toujours, essentiel de mettre à jour les systèmes avec les derniers correctifs et d’examiner les politiques de sécurité en place afin de s'assurer qu'elles s'adaptent à l'environnement de menace d'aujourd'hui. Cela implique de verrouiller les données sensibles, de maintenir un modèle de moindre privilège et surveiller le comportement des fichiers et des utilisateurs (UBA – User Behavior Analytics) afin d’être en mesure d’identifier immédiatement une attaque. »

 

 

En savoir plus via les liens sélectionnés :

https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware/?utm_source=Adobe%20Campaign%20-%20ACS&utm_medium=email&utm_campaign=20170627_Unit42_threat_alert_petya_ransomware

 

https://nakedsecurity.sophos.com/2017/06/27/breaking-news-what-we-know-about-the-global-ransomware-outbreak/

https://cert.europa.eu/GraphTest/clustergraph.html

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/

 https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

 https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires