Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe

Sécurité : Une campagne de ransomware importante est en cours ce mardi dans plusieurs entreprises européennes, particulièrement en Ukraine. Le géant du fret Maersk ou encore Saint Gobain indiquent être perturbés par l’attaque, qui semble proche de l’épidémie WannaCry.

À peine sorti de WannaCry, les administrateurs systèmes ont encore du souci à se faire. Une attaque informatique massive s’est déclarée en Europe au début de l’après-midi, touchant dans un premier temps l’Ukraine avant de se répandre à plusieurs pays européens dont la France.

La société Kaspersky informe ainsi d’attaques ayant été répertoriées en France, en Russie, en Ukraine et en Espagne. L’ampleur exacte de l’attaque reste inconnue, mais la vitesse de propagation du malwares laisse penser à une méthode de propagation similaire à celle de WannaCry. Il s’agit bien d’un ransomware qui exige 300 dollars pour libérer les fichiers du PC infecté.

La société de fret maritime Maersk a ainsi confirmé sur Twitter que nombre de ses systèmes internes étaient perturbés par une attaque informatique. En France, Saint Gobain indique avoir isolé son SI pour éviter le pire. Son site Web est inaccessible. «Saint-Gobain a fait l’objet d’une cyberattaque. Par mesure de sécurité, afin de protéger nos données nous avons isolé nos systèmes informatiques. C’est en cours de résolution», a déclaré une porte-parole du groupe français de matériaux à l’AFP, sans être en mesure de donner davantage d’information dans l’immédiat.

Les passagers du métro de Kiev ne pouvaient pas payer par carte bancaire, les panneaux d’affichage de l’aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients. 

En parallèle, la société pétrolière russe Rosneft a également été touchée par l’attaque, qui s’est propagée à plusieurs entreprises ukrainiennes et espagnoles comme le rapporte Motherboard. Outre des entreprises, le premier ministre ukrainien a lui aussi été personnellement touché par l’attaque, qu’il a qualifiée de « sans précédent. »

Un sérieux goût de réchauffé

Il est pour l’instant encore un peu tôt pour tirer des conclusions définitives sur cette nouvelle campagne de malwares, mais les premières analyses d’experts montrent que celle-ci présente de troublantes similitudes avec le cas WannaCry. La vitesse de propagation de la menace, qui s’est soudainement répandu à partir du début d’après-midi, laisse penser que celui-ci n’est pas uniquement diffusé par un phishing traditionnel, mais bien par un ver, qui exploiterait donc une faille informatique au sein de Windows. Plusieurs témoignages d’employés de sociétés affectés confirment que des machines fonctionnant sous Windows 8 ont été infectées.  

 

La charge utile n’est en revanche pas WannaCrypt, mais s’apparente plutôt à une version modifiée du ransomware Petya, un malwares qui avait fait des siennes en début d’année 2016. Celui-ci infecte la machine, puis simule une vérification du disque dur Windows afin de pouvoir chiffrer complètement les données de la cible ainsi que le MBR, la partition du disque utilisée pour initier le lancement du système d’exploitation. De fait, la machine est rendue complètement inutilisable : l’utilisateur ne peut pas accéder aux fichiers ni à son système d’exploitation.

Le ransomware demande « 300 dollars en bitcoin » afin de déchiffrer les données de l’utilisateur, qui doivent être envoyés à une adresse bitcoin précisée par le ransomware. Celle-ci, apparemment la même pour de nombreux cas, confirme que l’attaque aurait débuté en début d’après-midi et une dizaine de paiements ont déjà été enregistrés en direction de l’adresse.

Pour l’instant, de nombreux éléments inconnus restent à éclaircir sur cette nouvelle campagne. On s’interroge ainsi sur le mode de propagation de ce nouveau malwares : Avira et Symantec estiment que celui-ci utilise ETERNALBLUE, la faille utilisée par la campagne Wannacry, mais d’autres vecteurs de propagation sont évoqués, tels que l’exploitation d’une faille au sein de WMIC, une API Windows utilisée pour le contrôle à distance de certains aspects de l’OS.

Pour l’instant, ces différentes théories restent à confirmer et doivent donc être prises avec précaution. L’ampleur exacte de l’attaque reste également inconnue, mais les nombreux témoignages sur les réseaux sociaux montrent que celle-ci n’est pas négligeable et touche de nombreuses entreprises appartenant à différents secteurs.

Mise à jour à 18h25 : le Cert-FR a publié une alerte concernant cette campagne de ransomware. Le vecteur utilisé reste inconnu à cette heure, mais le Cert confirme que le ransomware Petya est bien celui utilisé. L’organisme recommande l’installation des mises à jour de sécurité Windows, notamment le correctif  MS17-010 ainsi que de limiter l’exposition de SMB. En cas de machine infectée, le Cert recommande de déconnecter immédiatement la machine du réseau afin de limiter la propagation du malware, et de sauvegarder les fichiers les plus importants sur des supports déconnectés du réseau.

Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe

Source : L’article << Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:16+00:00

Laisser un commentaire