NotPetya : des sociétés ukrainiennes d'abord visées, une propagation plus limitée ?

Sécurité : Les recherches autour du nouveau malware ayant affecté plusieurs entreprises ne sont pas encore terminées. Mais les indices laissent entendre qu’une société ukrainienne pourrait avoir été le vecteur initial de l’attaque.

Notpetya, Petwrap, Nyetya, appelez-le comme vous voulez, la nouvelle campagne de ransomware signalée hier a déjà fait pas mal de dégâts et s’est en tout cas attirée une attention médiatique particulièrement importante. Le nombre total de victimes reste pour l’instant difficile à évaluer, mais pourrait être moins important que pour WannaCry.

NotPetya : des sociétés ukrainiennes d'abord visées, une propagation plus limitée ? - 2017 - 2018 

Les dernières analyses menées sur le malware montrent en effet que la propagation de celui-ci est plus limitée que prévu. Celui-ci se propage en effet avant tout via le réseau local, en exploitant deux vulnérabilités au sein du protocole SMB connues sous les noms d’EternalBlue et EternalRomance. Outre l’utilisation de ces deux vulnérabilités, ce nouvel exploit est également en mesure de voler des identifiants sur les machines infectées, qu’il utilise ensuite pour se propager via l’utilisation d’outils Windows traditionnels tels que WMIC ou encore PSEXEC.

Comme l’explique sur son blog MalwareTech, le chercheur en sécurité ayant travaillé et bloqué en partie les infections dues à WannaCry, « la version actuelle de Petya adopte une approche différente de celle de WannaCry : les exploits qu’il utilise pour infecter d’autres machines fonctionnent uniquement sur un réseau local. Ce qui signifie que vous avez peu de chance d’être infectés si vous n’êtes pas sur le même réseau local qu’une machine infectée. »

Pour l’instant, les chercheurs ne sont pas parvenus à expliquer comment ce ransomware était parvenu à se propager aussi rapidement hors d’Ukraine. Cette propagation latérale du malware aux autres machines connectées sur le réseau local a été rapidement détectée par les sociétés de cybersécurité, mais la question de l’infection initiale restait en suspens.

À l’origine de l’infection, le cas M.E Doc

Microsoft a publié sur son blog une analyse très précise du comportement de ce malware. Mais l’information la plus intéressante donnée par l’éditeur concerne les premières infections détectées. Selon Microsoft, une partie au moins des infections par ce nouveau virus a été causé par une mise à jour malveillante d’un programme distribué par une société Ukrainienne, M.E Doc. Cette société commercialise un programme de comptabilité extrêmement populaire en Ukraine et donc présent dans de nombreuses entreprises.

Comme l’explique Microsoft dans son post de blog, « l’infection initiale implique apparemment une mise à jour malveillante du programme MEDoc, le programme commercialisé par la société Ukrainienne M.E Doc.

[…] Microsoft dispose de preuves montrant que plusieurs infections par ce ransomware ont été initiées via l’utilitaire de mise à jour M.E Doc. »

L’implication de M.E Doc était déjà évoquée hier soir par plusieurs experts débattant de l’origine de l’attaque sur Twitter, mais n’avait pas été confirmée. La société M.E Doc avait publié hier en début de journée un communiqué visant à avertir ses utilisateurs de la diffusion d’un virus, mais la société s’est depuis rétractée dans un communiqué diffusé sur Facebook. Dans celui-ci, la société explique ne pas être responsable de l’attaque et rappelle que la dernière mise à jour officielle de son logiciel date du 22 juin.

Malheureusement pour eux, Microsoft confirme qu’une mise à jour malicieuse de ce logiciel a été détectée par ses outils de télémétrie dans la matinée du 27 juin, aux alentours de 10h30. C’est probablement l’un des vecteurs ayant permis à l’attaque d’affecter de nombreuses entreprises ukrainiennes dans les premiers temps de l’attaque. Cette thèse est aujourd’hui confirmée par plusieurs sources : Microsoft, mais aussi Kaspersky ou encore la police Ukrainienne cite ce vecteur d’attaque parmi les méthodes de propagation constatées de ce nouveau ransomware.

Ni Petya, ni poule aux œufs d’or

L’un des vecteurs, mais pas le seul. De nombreuses interrogations persistent à l’égard de ce ransomware. Si la méthode rappelle évidemment WannaCry, le mobile ne semble ici pas le même : l’adresse proposée pour récupérer la clef de déchiffrement ayant été fermée, les victimes peuvent payer la rançon, mais ne peuvent pas contacter les opérateurs du malware pour obtenir la clef de déchiffrement. Au total, une quarantaine de paiements de 300 dollars ont été répertoriés sur l’adresse Bitcoin donnée par le ransomware.

Autant dire que si NotPetya fait preuve d’un fonctionnement très sophistiqué et reprend certains éléments de WannaCry, il n’est clairement pas le ransomware le plus rentable. Il n’est donc pas impossible d’envisager une attaque informatique visant à déstabiliser le pays tout en se faisant passer pour une campagne de ransomware « classique » afin de renforcer la confusion. Mais l’attribution de cette attaque risque d’être complexe, et il est encore trop tôt pour pointer du doigt tel ou tel acteur en se basant sur les informations obtenues jusqu’à maintenant.

NotPetya : des sociétés ukrainiennes d'abord visées, une propagation plus limitée ?

Source : L’article NotPetya : des sociétés ukrainiennes d'abord visées, une propagation plus limitée ? >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

NotPetya : des sociétés ukrainiennes d'abord visées, une propagation plus limitée ? - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
Par | 2017-09-18T18:29:16+00:00 juin 28th, 2017|Actualité|0 commentaire

Laisser un commentaire