Vous n’avez pas aimé Wannacry il y a un peu d’un mois, vous n’allez pas du tout aimer le nouveau Ransomware qui s’est propagé dans le monde et a touché en France Saint-Gobain, Auchan et la SNCF notamment.

La cyberattaque serait partie d’Ukraine où plusieurs infrastructures critiques dont celle de la centrale atomique de Tchernobyl avant de se propager dans de nombreux pays dont la France où des entreprises comme Saint-Gobain, Auchan ou la SNCF ont été touchés. De nombreuses banques ont été également touchées ainsi que le port de Rotterdam.

En France, le Parquet de Paris a ouvert hier une enquête de flagrance d’une contamination par le virus informatique Pentya. Cette enquête, explique l’agence Reuters, porte sur les chefs d’« accès, maintien frauduleux dans un système de traitement automatisé de données (STAD), introduction frauduleuse de données dans un STAD, entrave au fonctionnement d’un STAD, extorsion et tentative d’extorsion », précise le parquet. Elle a été confiée aux policiers de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Selon différentes entreprises de sécurité, la souche de Petya utilise EternalBlue, un outil de la NSA qui était déjà responsable de la propagation de Wannacry en mai dernier. La faille qu’il utilise a pourtant été corrigée par Microsoft ce qui signifie que les PC touchés n’ont sans doute pas été mis à jour.  Mais tous les experts ne s’accordent pas sur le virus utilisé.

« Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, explique Kaspersky, comme cela a été publiquement annoncé, mais bien un nouveau ransomware qui n’a jamais été observé jusqu’à présent. C’est pourquoi nous l’avons appelé NotPetya. Il semblerait que nous ayons affaire à une attaque complexe qui implique plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’un exploit EternalBlue modifié est utilisé pour la propagation de la menace, au moins sur les réseaux d’entreprise. 

« A l’origine de la cyberattaque actuellement en cours et qui touche de nombreux pays, dont la France : un malware qui infecte le MBR (master boot record) avec le malware Trojan.MBRlock.265, commente de son côté Igor Zdobnov, Chief Malware Analyst chez Doctor Web.

Il s’agit en fait d’une nouvelle version de ce Trojan. Certains médias font des parallèles avec le ransomware Petya (qui est détecté par Dr.Web comme Trojan.Ransom.369) en prenant en compte certaines manifestations externes de ses activités, cependant, la méthode de propagation de la nouvelle menace est différente du schéma standard utilisé dans Petya ».

 

Comment le malware se propage selon Lee Fisher, expert sécurité chez Juniper

Cette dernière variante de Petya utilise trois principaux moyens d’attaque pour se propager:

  • Une fois que le malware s’est exécuté, l’ordinateur infecté tente une connexion à 84.200.16.242/myguy.xls qui est un fichier MS HTA. Cela se traduit par la connexion à french-cooking[.]com qui télécharge et dépose un autre exécutable (myguy.exe, enregistré) sur le système local <random> .exe, pour lequel <random> est un nombre aléatoire compris entre 0 et 65535).

  • Une fois que le ransomware a infecté le poste, il tente d’utiliser le second vecteur, en passant par MS017-010 (Vulnérabilité d’exécution de code à distance SMB de Windows ) et en utilisant l’exploit ‘ETERNALBLUE’ – un vecteur d’infection basé sur le réseau pour se répandre sur des réseaux internes – soit la même vulnérabilité exploitée par ‘WannaCry’, le malware qui a fait parlé de lui récemment.

  • Le logiciel malveillant semble exploiter Windows WMI ( Microsoft Windows Management Interface ) pour se répandre sur les réseaux internes si les informations d’identification des administrateurs sont disponibles. La méthode d’escalade des privilèges et / ou le vol d’identité qui facilite cette action est encore en cours d’analyse.

Contrairement à la plupart des ramsonwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l’ordinateur et une autre qui chiffre les structures NTFS, explique Bitdefender. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD.

En outre, une fois que le processus de chiffrement est terminé, le ransomware a une fonction spéciale qui consiste à forcer l’arrêt de l’ordinateur, déclenchant un redémarrage et rendant l’ordinateur inutilisable jusqu’à ce que la rançon de 300 dollars soit payée.

 « Garantir une protection à 100% contre ce type d’attaque est tout simplement impossible. Un éditeur de sécurité affirmant le contraire serait tout simplement malhonnête, explique Christophe Jolly, Directeur France de Vectra AI. Pour pénétrer un réseau d’entreprise, un cyberattaquant n’a besoin que d’une surface d’attaque des réseaux d’entreprise. En ajoutant à l’attaque une extension PetWrap, le cybercriminel a créé un schéma pyramidal qui chiffre l’ordinateur dès le lancement d’une session utilisateur, et non uniquement les fichiers, ce qui rend l’attaque encore plus grave. Le temps passé à détecter une machine infectée, suffit à générer l’infection de douzaine d’autres machines… La sécurité se transforme ainsi en un jeu de rapidité. La NSA a conçu ce type d’outils spécifiquement pour contourner les solutions de sécurité existantes ».

 « D’après les leçons que nous avons retenues du ransomware Wannacry, le plus important pour les entreprises – à ce stade de l’attaque – est la gestion d’incident et le flux d’informations en temps réel, poursuit Csaba Krasznay, Security Evangelist chez Balabit. Les entreprises doivent être sures qu’au cours de ces heures premières heures critiques, elles ne causent pas de dégâts encore plus importants. Les professionnels de sécurité doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique (analyse forensique). Cela passe par exemple par la collecte de tous les événements (logs) générés sur leur réseau et l’enregistrement de toutes les sessions utilisateurs avec des outils de gestion des sessions, notamment dans les cas où le système doive être restauré à la suite d’une erreur humaine ».

 

Les 5 étapes classiques de remédiation après une attaque selon Csaba Krasznay, Balabit 

Etape 1. L’isolation : Les points de terminaison (endpoints) infectés doivent être isolés le plus vite possible. Retirer le câble d’alimentation dès que vous voyez le logiciel malveillant ;

Etape 2. Collecte d’informations – Qu’est-ce que c’est ? Comment cela fonctionne-t-il ? Comment gérer l’incident ? Des alertes de CERT ont-elles été émises ? Collecter de l’information sur un maximum de plateformes d’échanges d’informations : Twitter, blogs sécurité, autres entreprises… ;

Etape 3. Segmentation du réseau : Filtrer le protocole infecté à partir du trafic réseau. C’est une décision d’évaluation des risques : faut-il empêcher la propagation de logiciels malveillants ou garder les processus métier en fonctionnement ? ;

Etape 4. Mettre en place des contre-mesures : Utilisez les indicateurs de compromission, mettre à jour les IDS et les règles de pare-feu, les systèmes anti-virus, un maximum de serveurs et clients lorsque les éditeurs anti-virus partagent les signatures du ransomware Petya ;

Etape 5. Croiser les doigts : Garder une vigilance maximale sur les événements suivants. Peut-être une future variante ? Est-ce que tous les systèmes ont été patchés ? Est-ce que l’entreprise doit s’inquiéter de faire les gros titres de la presse ?? Dans la précipitation, est-ce qu’un outil aurait pu être mal configuré ?