Dès le mardi 27 juin, des informations ont commencé à circuler sur des organisations en Ukraine et ailleurs en Europe qui subissaient des attaques de type ransomware. Il est vite apparu que cette attaque, appelée Petya pourrait égaler voire surpasser l’attaque WannaCry du mois de mai.
La propagation de WannaCry a connu un vrai succès parce qu’elle a été alimentée par une vulnérabilité dans le système Windows, et bien que Microsoft ait publié un correctif pour résoudre cette faille, de nombreuses entreprises ne l’ont pas appliqué avant le déclenchement/l’épidémie. Heureusement, les entreprises en dehors de la zone d’attaque initiale de l’Union Européenne ont réussi à patcher leurs systèmes pour éviter un impact international de plus grande ampleur.
Malheureusement, les auteurs de cette variante du ransomware ont appris du passé. L’épidémie actuelle de ransomware Petya peut être transmise à des systèmes non patchés via le même programme que WannaCry, mais elle peut également effectuer un mouvement latéral afin d’infecter des systèmes patchés sur des réseaux connectés à l’aide de « Windows Management Instrumentation Command Line » (WMIC) et PsExec, un outil de commande à distance de Microsoft.
Qu’est-ce que Petya ?
La plupart des professionnels de la sécurité signalent le ransomware en tant que Petya, toutefois, au moins une entreprise de sécurité croit qu’il s’agit d’une imitation et non d’une véritable variante de Petya. À l’heure actuelle, IBM X-Force a identifié au moins trois échantillons que nous pensons être des variantes de Petya mises à jour.
Le ransomware Petya est apparu pour la première fois en 2016. Il est unique dans le domaine des ransomwares car il crypte le master boot record (MBR) et le master file table (MFT) sur les hôtes infectés. Petya est souvent déployé avec Mischa, qui agit comme une solution de repli; Si Petya ne peut pas accéder au compte administrateur pour chiffrer le MBR, Mischa lance et crypte des fichiers individuels (de type .DOC, .PPT et .XLS). Un autre aspect unique de Petya est qu’il peut fonctionner même si un système est déconnecté. Il ne nécessite pas de connexion directe à un serveur de commande et de contrôle (C&C).
Dans cette épidémie récente, il semble que la « payload » actuelle de Petya soit distribuée en utilisant le même mécanisme EternalBlue qui faisait partie des fuites appelées Shadow Brokers qui ont alimenté la propagation de WannaCry.
Comme dans l’épidémie WannaCry, ce malware est modulaire. En plus de la « payload » de Petya, certains rapports indiquent qu’il pourrait inclure le cheval de Troyes Loki Bot.
Détails techniques
L’épidémie Petya a fait la une pour s’être répandue très rapidement le 27 juin 2017, mais les éléments qui la composent ne sont pas nouveaux.
Mouvement latéral: SMB Wormholes
Une des façons dont Petya se déplace et se propage passe par le scan du port 445 de protocole de contrôle de transmission (TCP) pour identifier et cibler des machines qui utilisent des versions non corrigées du bloc de message serveur (SMB). Si cela vous semble familier suite à vos lectures lors de l’épidémie WannaCry, vous avez raison. C’est le même.
Exécution à distance: EternalBlue, WMIC et PsEXEC
Les services de réponse aux incidents et de renseignement d’IBM X-Force (XF-IRIS) ont confirmé que les échantillons de l’épidémie actuelle utilisaient EternalBlue. Selon la publication de Shadow Brokers, EternalBlue exploite la vulnérabilité CVE-2017-0144, qui permet aux attaquants d’exécuter des codes arbitraires sur un système cible. Cela peut inclure un code qui analyse la présence d’un code d’exploitation tel que DOUBLEPULSAR, ou d’analyser des systèmes proches et essayer de les infecter avec un code d’exploitation.
WMIC et PsExec ne sont pas des vulnérabilités : ce sont des outils Microsoft qui aident les administrateurs à gérer les systèmes et les réseaux. WMIC permet aux utilisateurs d’exécuter des processus et des scripts, tandis que PsExec permet à un utilisateur distant de contrôler à distance un système. Entre les mains des administrateurs, ce sont des outils importants et utiles, mais lorsqu’un attaquant y accède, ils peuvent être utilisés pour installer un logiciel malveillant – tel que Petya – sur des systèmes cibles.
Une fois sur le système, le ransomware se copie lui-même dans le répertoire C: \ Windows \ et installe un fichier PE dans C: \ Windows \ dllhost.dat. Pour brouiller les pistes, le ransomware utilise schtasks(outil de planification des tâches Windows) pour créer un fichier de tâches qui redémarre le système à une heure programmée. Pour brouiller davantage les pistes, le ransomware utilise wevtutil.exe pour effacer les journaux de configuration, de système, de sécurité et d’application, et utilise fsutil.exe pour supprimer des informations dans le journal de modifications.
Ne payez pas la rançon
De nombreuses entreprises peuvent être tentées de payer la rançon pour remettre leurs systèmes en service. Dans le cas de cette épidémie, il semble que les agresseurs n’ont jamais tenté de restaurer les fichiers aux victimes. À l’avenir, adressez le point de la segmentation et des sauvegardes du réseau afin que, si les systèmes sont verrouillés, ils puissent être déconnectés et restaurés rapidement.
L’entité sécurité d’IBM recommande :
- De vous assurer que les systèmes sont patchés (MS17-010) et que tous les programmes antivirus sont à jour.
- De déterminer si les systèmes de sauvegarde sont correctement configurés.
- De restaurer uniquement à partir de sauvegardes sécurisées avec des snapshots sûrs et connus ou de reconfigurer complètement les systèmes.
- D’isoler tout système non patché pour éviter les mouvements latéraux de Petya.
- De vérifier les méthodes de surveillance de tous les systèmes et réseaux critiques.
- De créer ou conserver des revues régulières de la protection des informations d’identification privilégiées afin d’éviter tout nouvel accès via des outils légitimes sur un réseau.
- De revoir les plans de réponse aux incidents et de contingence.
__________
Agnieszka Bruyère est directrice Sécurité chez IBM France