NotPetya : La cyberattaque Ukrainienne prend une envergure mondiale

La semaine dernière, une nouvelle cyberattaque d’envergure a touché de nombreuses entreprises à travers le monde. L’infection a commencé en Ukraine – affectant les systèmes informatiques de banques, entreprises d’énergies ainsi que de l’aéroport principal de Kiev – mais s’est vite propagée dans des milliers d’entreprises, y compris, Maersk, entreprise Danoise de transports, Saint-Gobain, entreprise Française de matériaux de construction, MSD, entreprise pharmaceutique Irlandaise ou encore Mondelez, géant Espagnol du secteur alimentaire.

On a d’abord cru que le malware (programme malveillant) responsable était Petya mais Kaspersky Lab a précisé que bien que le virus ressemble beaucoup à Petya, il s’agit d’un « nouveau ransomeware jamais vu auparavant ». De nombreux chercheurs du domaine de la sécurité l’ont donc nommé NotPetya.

 

Qu’est-ce que Petya/NotPetya ?

 Petya est une famille de ransomewares de cryptage qui ont été découverts pour la première fois en 2016. Le malware cible les systèmes d’exploitation Windows, infectant le Master Book Record afin de crypter la table de fichier NTFS et d’exiger un paiement bitcoin afin de récupérer l’accès au système.

Des variantes de Petya ont été identifiées en mai 2016 et se sont propagées via des pièces jointes d’emails infectées. La variante NotPetya est d’abord apparue le 27 juin 2017 mais a été signalée la semaine dernière. Cette variante NotPetya n’est pas techniquement un ransomeware mais un « wiper ». Autrement dit, même si vous payez la rançon, vos données ne peuvent être récupérées.

Not Petya profite du même Server Message Block (SMB) – EternalBlue – utilisé par WannaCry et il peut également se répandre via un autre SMB divulgué par le Shadow Brokers – EternalRomance. Microsoft a confirmé que des corrections sont disponibles pour ces deux types de faiblesses.

 

Quelles sont les différences entre NotPetya et WannaCry ?

 Comme WannaCry, NotPetya a un composant qui lui permet de se propager latéralement sur des réseaux connectés. Cependant, sa méthode diffère de WannaCry de plusieurs façons. Il utilise un payload qui contamine le Master Boot Record des ordinateurs en écrasant les bootloaders Windows qui déclenche ensuite un redémarrage. Lorsque l’ordinateur redémarre, le payload est exécuté – il crypte le MFT (Master File Table) du NTFS (New Technology File System) et affiche le message de ransomeware. Simultanément, une simulation de résultat CHKDSK, le scanner du système de fichier Windows, apparaît sur l’écran, suggérant que le disque dur est en cours de réparation.

Selon Nick Bilogorskiy, Directeur des opérations spécialisé dans la gestion des menaces at Cyphort, NotPetya est différent de WannaCry car :

  • NotPetya est initialement distribué via email – plus particulièrement via un lien malveillant envoyé depuis une adresse inconnue.
  • NotPetya n’essaye pas de crypter des fichiers individuels mais plutôt de crypter le MFT (Master File Table).
  • Il contient une fausse signature digitale Microsoft, copiée depuis Sysinternals.
  • NotPetya est apparemment également capable de se propager de manière latérale en utilisant WMI (Windows Management Instrumentation).
  • Certaines charges comprennent une variante de Loki Bot, un programme malveillant ayant pour but de voler des données privées personnelles sur des machines affectées et les envoyer vers un hébergeur de contrôle via HTTP POST. Ces données personnelles comprennent des mots de passe sauvegardés, informations d’identifications depuis les navigateurs internet et une variété de portefeuilles de cryptocurrency.

Vous souhaitez être au courant des dernières news en matière de protection des données et de cybersécurité, suivez notre blog ici.

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.