Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe [MAJ]

Sécurité : Une campagne de ransomware importante est en cours ce mardi dans plusieurs entreprises européennes, particulièrement en Ukraine. Le géant du fret Maersk ou encore Saint Gobain indiquent être perturbés par l’attaque, qui semble proche de l’épidémie WannaCry.

Mise à jour à 22h30 :

Kaspersky est revenu sur ses précédentes analyses, qui tendaient à confirmer que la charge utile était constituée d’un clone de Petya. Mais que celui ci est un nouveau ransomware jusqu’alors inconnu, que la société russe de sécurité a choisi de nommer NotPetya. (Ou Petwrap. La nomenclature est encore particulièrement mouvante.)

Les capacités de ce ransomware sont encore floues, mais celles ci pourraient aller au-delà du simple chiffrement des fichiers et disposer au passage de fonctions de vol d’identifiants, comme le rapporte The Register.

Petya, or NotPetya? That is the question.

La société de cybersécurité confirme également que l’attaque est complexe et se base sur plusieurs vecteurs d’attaque. Kaspersky confirme ainsi l’utilisation d’EternalBlue, la faille de la NSA rendue publique par le groupe des shadow brokers, par NotPetya, qui l’utilise pour se propager au sein des réseaux locaux via le protocole SMB.

Plusieurs chercheurs, dont l’équipe Talos de chez Cisco, confirment que le malware a également recours à l’API WMI pour se déplacer au sein des réseaux, ainsi qu’un autre vecteur exploitant probablement PsExec, un utilitaire Windows permettant d’exécuter des lignes de commande sur une machine distante.

Il est inutile de tenter négocier avec les opérateurs du malware en les contactant par l’adresse mail affichée par celui ci. La société Posteo, qui fournissait l’adresse, a communiqué à 18h30 pour expliquer que le compte lié à cette adresse mail avait été fermé dès midi et que les titulaires n’y avaient donc plus accès. Compte tenu du fait que ce ransomware nécessite d’envoyer un mail à cette adresse afin d’obtenir la clef de déchiffrement après avoir payé la rançon, cela pourrait signifier qu’il n’est maintenant plus possible de déchiffrer les données.

En France, le parquet de Paris a annoncé avoir ouvert une enquête, suite aux infections subies par Auchan, la SNCF et Saint Gobain. L’enquête sera menée par l’OCLCTIC. En parallèle, Europol a également annoncé avoir ouvert une enquête sur l’attaque. Le secrétaire d’état au numérique Mounir Mahjoubi a évoqué une attaque « sans précédent », tout en rappelant qu’il était encore « trop tôt » pour en tirer des conclusions.

Mise à jour à 18h25 :

le Cert-FR a publié une alerte concernant cette campagne de ransomware. Le vecteur utilisé reste inconnu à cette heure, mais le Cert confirme que le ransomware Petya est bien celui utilisé. L’organisme recommande l’installation des mises à jour de sécurité Windows, notamment le correctif  MS17-010 ainsi que de limiter l’exposition de SMB. En cas de machine infectée, le Cert recommande de déconnecter immédiatement la machine du réseau afin de limiter la propagation du malware, et de sauvegarder les fichiers les plus importants sur des supports déconnectés du réseau.

Article initial

À peine sorti de WannaCry, les administrateurs systèmes ont encore du souci à se faire. Une attaque informatique massive s’est déclarée en Europe au début de l’après-midi, touchant dans un premier temps l’Ukraine avant de se répandre à plusieurs pays européens dont la France.

La société Kaspersky informe ainsi d’attaques ayant été répertoriées en France, en Russie, en Ukraine et en Espagne. L’ampleur exacte de l’attaque reste inconnue, mais la vitesse de propagation du malwares laisse penser à une méthode de propagation similaire à celle de WannaCry. Il s’agit bien d’un ransomware qui exige 300 dollars pour libérer les fichiers du PC infecté.

La société de fret maritime Maersk a ainsi confirmé sur Twitter que nombre de ses systèmes internes étaient perturbés par une attaque informatique. En France, Saint Gobain indique avoir isolé son SI pour éviter le pire. Son site Web est inaccessible. «Saint-Gobain a fait l’objet d’une cyberattaque. Par mesure de sécurité, afin de protéger nos données nous avons isolé nos systèmes informatiques. C’est en cours de résolution», a déclaré une porte-parole du groupe français de matériaux à l’AFP, sans être en mesure de donner davantage d’information dans l’immédiat.

Les passagers du métro de Kiev ne pouvaient pas payer par carte bancaire, les panneaux d’affichage de l’aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients. 

En parallèle, la société pétrolière russe Rosneft a également été touchée par l’attaque, qui s’est propagée à plusieurs entreprises ukrainiennes et espagnoles comme le rapporte Motherboard. Outre des entreprises, le premier ministre ukrainien a lui aussi été personnellement touché par l’attaque, qu’il a qualifiée de « sans précédent. »

Un sérieux goût de réchauffé

Il est pour l’instant encore un peu tôt pour tirer des conclusions définitives sur cette nouvelle campagne de malwares, mais les premières analyses d’experts montrent que celle-ci présente de troublantes similitudes avec le cas WannaCry. La vitesse de propagation de la menace, qui s’est soudainement répandu à partir du début d’après-midi, laisse penser que celui-ci n’est pas uniquement diffusé par un phishing traditionnel, mais bien par un ver, qui exploiterait donc une faille informatique au sein de Windows. Plusieurs témoignages d’employés de sociétés affectés confirment que des machines fonctionnant sous Windows 8 ont été infectées.  

Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe [MAJ] - 2017 - 2018 

La charge utile n’est en revanche pas WannaCrypt, mais s’apparente plutôt à une version modifiée du ransomware Petya, un malwares qui avait fait des siennes en début d’année 2016. Celui-ci infecte la machine, puis simule une vérification du disque dur Windows afin de pouvoir chiffrer complètement les données de la cible ainsi que le MBR, la partition du disque utilisée pour initier le lancement du système d’exploitation. De fait, la machine est rendue complètement inutilisable : l’utilisateur ne peut pas accéder aux fichiers ni à son système d’exploitation.

Le ransomware demande « 300 dollars en bitcoin » afin de déchiffrer les données de l’utilisateur, qui doivent être envoyés à une adresse bitcoin précisée par le ransomware. Celle-ci, apparemment la même pour de nombreux cas, confirme que l’attaque aurait débuté en début d’après-midi et une dizaine de paiements ont déjà été enregistrés en direction de l’adresse.

Pour l’instant, de nombreux éléments inconnus restent à éclaircir sur cette nouvelle campagne. On s’interroge ainsi sur le mode de propagation de ce nouveau malwares : Avira et Symantec estiment que celui-ci utilise ETERNALBLUE, la faille utilisée par la campagne Wannacry, mais d’autres vecteurs de propagation sont évoqués, tels que l’exploitation d’une faille au sein de WMIC, une API Windows utilisée pour le contrôle à distance de certains aspects de l’OS.

Pour l’instant, ces différentes théories restent à confirmer et doivent donc être prises avec précaution. L’ampleur exacte de l’attaque reste également inconnue, mais les nombreux témoignages sur les réseaux sociaux montrent que celle-ci n’est pas négligeable et touche de nombreuses entreprises appartenant à différents secteurs.

Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe
[MAJ]

Source : L’article Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe [MAJ] >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe [MAJ] - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:16+00:00

Laisser un commentaire