Après l’attaque massive WannaCry qui a touché le monde le mois dernier, un nouveau ransomware vient d’être identifié et touche actuellement plusieurs entreprises internationales telles que WPP, Maersk et Saint.
Cette nouvelle attaque est un autre exemple de ransomware similaire à Petya, identifié pour la première fois en 2016. Selon les nombreux rapports en cours, ce virus a touché plusieurs entreprises en Ukraine incluant des banques, des sociétés énergétiques, de services de transports ainsi que des gouvernements.
Il y a quelques mois, nous avons constaté que le ransomware Petya avait été corrigé et regroupé dans une souche de malware différente appelée PetrWrap. L’attaque semble aujourd’hui se propager avec des incidents signalés en Russie, en Inde, en France, en Espagne et aux Pays-Bas. Les individus derrière l’attaque demanderaient une rançon de 300 dollars à payer en crypto-monnaie, c’est-à-dire en Bitcoin.
Ce ransomware semblable à Petya serait en train de se répandre à l’aide de la vulnérabilité EternalBlue, la même utilisée pour diffuser WannaCry. Aujourd’hui, nous avons détecté et bloqué 12 000 tentatives d’exploitation EternalBlue par des logiciels malveillants. D’après les données du Wi-Fi Inspector d’Avast, qui scanne les réseaux et peut détecter si un PC Avast ou un autre PC connecté au même réseau fonctionne avec la vulnérabilité EternalBlue, 38 millions d’ordinateurs scannés la semaine dernière n’ont pas corrigé leurs systèmes et sont donc vulnérables. Cependant, leur nombre réel est probablement beaucoup plus élevé.
Nous recommandons vivement aux utilisateurs de Windows, particuliers et professionnels, de mettre à jour leurs systèmes avec les correctifs disponibles dès que possible, et de veiller à ce que leur logiciel antivirus soit également à jour.
Alors que nous ignorons qui se cache derrière cette cyberattaque, nous savons que l’une des caractéristiques sournoises du ransomware Petya repose sur le fait que ses créateurs l’offrent sur le Darknet selon un modèle d’affiliation qui donne aux distributeurs une part pouvant aller jusqu’à 85 % de la rançon versée, les 15 % restant sont conservés par les auteurs de malwares. Ces derniers fournissent l’infrastructure complète, les serveurs de commandes et contrôle (C&C) et la méthode de transfert d’argent. Il est question de « Ransomware as a Service (RaaS) », ce qui permet aux auteurs de logiciels malveillants de gagner des clients non spécialisés dans la technologie pour distribuer leur système de ransomware. »
__________
Jakub Kroustek est Threat Lab Team Lead chez Avast