Général

Une nouvelle attaque de ransomware se propage à travers le monde même frappe Tchernobyl


Après les attaques de WannaCry Ransomware qui ont frappé le Royaume-Uni et 100 autres pays, une nouvelle vague de cyberattaques se propage rapidement comme une traînée de poudre dans le monde. Cette fois, le malware s'appelle Petya ou NotPetya et il est considéré comme plus mortel que le ransomware WannaCry.

Il existe depuis 2016 mais n'a proliféré que ces derniers jours, affectant les grandes entreprises en Russie, en Ukraine, en Pologne et en Europe occidentale lors de son épidémie d'hier (27 juin 2017).

Petya a particulièrement handicapé divers secteurs en Ukraine, notamment la banque centrale, l'aéroport de Kiev, le réseau de métro, un avionneur d'État et les services gouvernementaux. Placer l'Ukraine au centre de cette cyberattaque mondiale.

Le chef adjoint de l'administration présidentielle @dshymkiv a chargé l'équipe d'aider les équipes informatiques d'autres institutions gouvernementales pic.twitter.com/iQw33ZJO7X

- The Bankova (@TheBankova) 27 juin 2017

Qu'est-ce que Petya?

Le ransomware existe depuis 2016. Il se propage dans un système Windows en exploitant la vulnérabilité MS17-010 ou plus communément appelée EternalBlue - également utilisée dans WannaCry. D'autres outils tels que EternalRomance peuvent également être utilisés pour exploiter les vulnérabilités d'un système. Si un seul système, possédant des attributs administratifs, a été infecté, il peut propager l'infection à tous les autres ordinateurs du réseau via WMI ou PSEXEC.

Une fois que Petya a pénétré un système, il attend 10 à 60 minutes pour qu'il redémarre. Lorsque le système redémarre, le logiciel malveillant commence à crypter les fichiers et écrase l'enregistrement de démarrage principal (MBR) avec un chargeur modifié affichant une note de rançon. Les hackers promettent que les fichiers cryptés peuvent être récupérés si les victimes payaient la rançon de 300 $ en Bitcoins. Ils ont fourni une adresse e-mail à laquelle les victimes pouvaient envoyer leurs numéros de portefeuille. Cependant, ce compte de messagerie a maintenant été désactivé, ce qui signifie que ceux qui ont été récemment victimes du malware ne peuvent plus récupérer leurs fichiers cryptés. Le portefeuille Bitcoin lié à la cyberattaque aurait reçu un certain nombre de paiements et contenait trois bitcoins, soit 5640 £ (7240 $).

[Source de l'image: Symantec]

Le fournisseur de messagerie allemand Posteo a réagi rapidement à l'attaque du malware. "Nous avons pris conscience que les maîtres-chanteurs de ransomware utilisent actuellement une adresse Posteo comme moyen de contact. Notre équipe anti-abus a immédiatement vérifié - et a bloqué le compte immédiatement". Posteo a confirmé les conditions suivantes à partir du 27 juin 2017 à midi. Les maîtres-chanteurs ne pouvaient plus accéder au compte de messagerie pour envoyer des e-mails. Et envoyer des e-mails sur le compte n'est plus possible non plus.

Alors, quel est le surnom "NotPetya"? Kaspersky Lab a rapporté que le malware qui rampe dans les organisations du monde entier n'est pas une variante de Petya. Au lieu de cela, il s'agit d'un nouveau ransomware et ils ont décidé de l'appeler NotPetya.

Les dernières nouvelles des chercheurs @kaspersky sur #Petya: c'est en fait # NotPetyapic.twitter.com / uTVBUul8Yt

- Kaspersky Lab (@kaspersky) 27 juin 2017

Comment Petya est plus mortelle que WannaCry

Ce ransomware fait plus que simplement crypter des fichiers. Il écrase et crypte également le MBR, qui est une partie importante du système de démarrage d'un ordinateur. Le MBR contient des informations sur le disque dur utilisé pour charger le système d'exploitation. Si le logiciel malveillant parvient à pénétrer dans le MBR, il cryptera tout le disque lui-même ou cryptera tous les fichiers.

De plus, le ransomware recherche également les mots de passe sur l'ordinateur affecté et tente d'extraire les informations de connexion des utilisateurs connectés de la mémoire ou du système de fichiers local. En abusant de PSEXEC, Petya peut se propager à travers tout un réseau en ciblant le PC d'un administrateur. Une fois que le système principal a été violé, les autres ordinateurs situés sous l'ordinateur hôte peuvent également être pénétrés.

Le chercheur d'ESET, Robert Lipovsky, a expliqué comment la vaste prolifération de Petya était possible.

«Cette puissante combinaison est probablement la raison pour laquelle l'épidémie se propage rapidement, même après que les épidémies précédentes aient fait la une des journaux et que la plupart des vulnérabilités auraient dû être corrigées. Il suffit d'un ordinateur non corrigé pour pénétrer dans le réseau. À partir de là, le malware peut prendre le dessus droits d’administrateur et diffusion sur d’autres ordinateurs ».

Petya est également plus notoire car il pénètre les PC Windows patchés, même ceux avec Windows 10. D'un autre côté, WannaCry a largement violé les systèmes plus anciens.

Qui est affecté?

L'un des géants de l'industrie pétrolière et gazière, Rosneft, a signalé que son système avait été affecté par la cyberattaque Petya. Mais elle a tout de suite eu recours au système de contrôle des réserves de l'entreprise, qui leur a permis de poursuivre leur fonctionnement quotidien. Rosneft est la plus grande société pétrolière cotée en bourse au monde, dirigée et détenue par le gouvernement russe. La société énergétique a demandé l'aide des services de sécurité russes pour enquêter sur la cyberattaque qui a éclaté dans l'après-midi du 27 juin 2017.

«Rosneft et ses filiales fonctionnent régulièrement. Ceux qui diffusent de faux messages de panique seront traduits en responsabilité avec ceux qui sont à l'origine de l'attaque des pirates», a déclaré le porte-parole de Rosneft, Mikhail Leontyev.

La cyberattaque pourrait cependant avoir de graves conséquences, du fait que la Société est passée à un système de contrôle des réserves ...

- Rosneft (@RosneftEN) 27 juin 2017

... ni la production d'huile ni les processus de préparation n'ont été arrêtés.

- Rosneft (@RosneftEN) 27 juin 2017

Après avoir été l'un des pays les plus durement touchés par le ransomware WannaCry, le Royaume-Uni n'a pas été épargné par cette cyberattaque mondiale actuelle de Petya. L'agence britannique de marketing et de publicité, WPP, s'est manifestée et a déclaré que ses systèmes informatiques avaient été affectés par Petya.

Les systèmes informatiques de plusieurs sociétés WPP ont été affectés par une cyberattaque présumée. Nous prenons les mesures appropriées et mettrons à jour dès que possible.

- WPP (@WPP) 27 juin 2017

La société danoise mondiale de transport et de logistique Maersk a déclaré que les systèmes informatiques de plusieurs de ses sites et unités commerciales avaient été désactivés.

MISE À JOUR 23:00 CEST pic.twitter.com/ITmwGIHD6e

- Maersk (@Maersk) 27 juin 2017

Le site nucléaire le plus notoire du monde à Tchernobyl en Ukraine a également été infligé par le ransomware, qui a réussi à paralyser le site Web de la centrale électrique. En conséquence, le système de surveillance des rayonnements de Tchernobyl a été mis hors ligne après la cyberattaque. Cela signifiait que les employés devaient mesurer les niveaux de rayonnement à l'aide d'appareils portatifs.

L'Agence d'État pour la gestion de la zone d'exécution de Tchernobyl a déclaré dans un communiqué de presse:

<< Dans le cadre de la cyberattaque, le site de la centrale nucléaire de Tchernobyl ne fonctionne pas. Tous les systèmes techniques de la centrale fonctionnent normalement. Mais en raison de la déconnexion temporaire des systèmes Windows, la surveillance radiologique du site industriel est en cours. sortir manuellement". 

Comment se protéger de cette cyberattaque en cours?

Assurez-vous que vous utilisez un logiciel antimalware fiable et à jour. Vous pouvez également protéger votre PC en installant toutes les mises à jour et correctifs Windows actuels. Évitez de cliquer sur des liens et d'ouvrir des pièces jointes provenant d'expéditeurs non fiables ou inconnus.

Selon ESET, le redémarrage de votre système peut être préjudiciable et il est préférable d'arrêter complètement votre ordinateur.

"Arrêter l'ordinateur et ne pas redémarrer pourrait empêcher le cryptage du disque, bien que plusieurs fichiers puissent déjà être cryptés après le remplacement du MBR et une nouvelle infection via le réseau est tentée"

Sources: Symantec, Kaspersky Lab, ESET, TruSTAR

VOIR AUSSI: Qu'est-ce que WannaCry et comment pouvez-vous protéger vos données contre lui?


Voir la vidéo: Après la pire attaque de ransomware de lhistoire - WanaCry (Août 2021).