Spear Phishing Attack

Petya (NotPetya)

Qu'est-ce que le Ransomware Petya ?

Découvrez Petya et comment vous protéger contre une attaque.
Protégez-vous contre les ransomwares

Définition : qu'est-ce que le ransomware Petya ?

Petya est une souche de ransomware qui infecte les ordinateurs basés sur Microsoft Windows. Comme d'autres formes de ransomware, Petya crypte les données sur les systèmes infectés. Les données ne sont déverrouillées qu'une fois que la victime a fourni la clé de chiffrement, généralement après avoir payé une rançon à l'attaquant.

 

Historique de Petya et NotPetya

Bien que découvert pour la première fois en 2016, Petya a commencé à faire parler de lui en 2017 lorsqu'une nouvelle variante a été utilisée dans une cyberattaque massive contre des cibles ukrainiennes. Elle s'est rapidement répandue dans le monde entier, paralysant les entreprises et causant plus de 10 milliards de dollars de dommages[1].

La nouvelle variante, également appelée "NotPetya" en raison de ses principales différences avec l'original, s'est répandue grâce à un exploit connu sous le nom d'EternalBlue. Cet exploit a été développé par l'Agence de sécurité nationale américaine (NSA), qui l'a ensuite volé. Une fois sur un système compromis, EternalBlue exploite une faille dans les protocoles réseau de Windows pour se propager silencieusement sur les réseaux. Contrairement à la plupart des malwares, NotPetya a infecté de nouveaux systèmes sans que l'utilisateur ne fasse rien. Ce comportement a fait de NotPetya un "ver à rançon" plus qu'un virus traditionnel.

NotPetya était étroitement ciblé, mais est rapidement devenu une menace plus large. Et bien qu'il ait montré les signes habituels d'une attaque de ransomware - comme la demande de rançon - il n'a pas été conçu pour collecter de l'argent. Ces caractéristiques ont conduit les chercheurs à conclure que le virus était une attaque destructrice commanditée par l'État, et non un acte de cybercriminalité.

 

Analyse : comment fonctionnent Petya et NotPetya ?

Selon la police ukrainienne, l'attaque de NotPetya a commencé par la subversion de la fonction de mise à jour du logiciel de comptabilité de ce gouvernement. Une deuxième vague d'attaques s'est propagée par le biais d'emails de phishing chargés de logiciels malveillants[2].

Bien que Petya ait exploité le même défaut qu'une souche de ransomware antérieure appelée WannaCry, le virus disposait de plus d'options pour se propager. Cela a rendu NotPetya beaucoup plus résistant aux cyberdéfenses. En même temps, il n'a pas été conçu pour se propager au-delà de l'environnement initialement infecté. Cela a limité la propagation et est conforme à la théorie selon laquelle le NotPetya était une attaque étroitement ciblée plutôt qu'une prise d'argent par un cybercriminel.

Une fois qu'il a infecté un système, Petya attend environ une heure avant de redémarrer la machine. Il affiche alors le texte "Réparation du système de fichiers sur C :" et avertit les utilisateurs de ne pas éteindre leur ordinateur. Pendant que les utilisateurs attendent, Petya crypte en fait leurs fichiers. Enfin, le système redémarre à nouveau, affichant la demande de rançon.

La rançon de NotPetya, cependant, est presque impossible à payer. L'e-mail de contact des attaquants a été codé en dur sur une adresse webmail qui a été rapidement fermée. Les victimes n'ont donc aucun moyen d'envoyer l'argent ou d'obtenir la clé de déchiffrement.

 

Comment supprimer Petya ?

Comme la plupart des ransomwares, Petya est difficile à supprimer après avoir infecté un système. Dans la plupart des cas, la victime doit décider si elle veut payer la rançon (dans l'espoir d'obtenir la clé de chiffrement) ou tout effacer et restaurer à partir de la sauvegarde. C'est la meilleure approche pour éviter tout ransomware. Voici ce qu'il faut faire avant, pendant et après une attaque.

Avant l'attaque

La meilleure stratégie de sécurité consiste à éviter complètement les ransomwares. Cela nécessite une planification et du travail - avant que la crise ne survienne.

  • Sauvegarde et restauration
    L'élément le plus important de toute stratégie de sécurité contre les rançons est la sauvegarde régulière des données. Étonnamment, peu d'organisations effectuent des exercices de sauvegarde et de restauration. Ces deux aspects sont importants : les exercices de restauration sont le seul moyen de savoir à l'avance si votre plan de sauvegarde fonctionne.

  • Mise à jour et correctif
    Maintenez les systèmes d'exploitation, les logiciels de sécurité et les correctifs à jour pour tous les appareils.

  • Former et éduquer les utilisateurs
    La formation et la sensibilisation des employés sont essentielles. Vos employés doivent savoir quoi faire, quoi ne pas faire, comment éviter les ransomwares et comment les signaler. Si les employés reçoivent une demande de rançon, ils doivent savoir qu'ils doivent immédiatement la signaler à l'équipe de sécurité et ne jamais, jamais, essayer de payer eux-mêmes.

  • Investir dans des solutions de sécurité solides et centrées sur les personnes
    Même la meilleure formation des utilisateurs n'arrêtera pas tous les ransomwares. Les solutions avancées de sécurité du courrier électronique protègent contre les pièces jointes, les documents et les URL malveillants dans les courriers électroniques qui conduisent à des ransomwares.

Pendant l'attaque : contenir les dégâts et reprendre les activités

Bien que la meilleure stratégie en matière de ransomware consiste à l'éviter en premier lieu, ce conseil ne signifie rien si vous êtes nouvellement infecté.

Vous avez des problèmes à résoudre à court terme, comme la remise en service d'ordinateurs, de téléphones et de réseaux, et la gestion des demandes de rançon.

  • Éteignez l'ordinateur et déconnectez-vous du réseau
    Petya attend environ une heure après avoir infecté un système avant de redémarrer et d'afficher un message indiquant que le système de fichiers est "réparé". Si la machine est éteinte immédiatement, certains fichiers peuvent être enregistrés, selon les experts[2].Dès que les employés voient la demande de rançon ou remarquent que quelque chose est bizarre, ils doivent se déconnecter du réseau et apporter la machine infectée au service informatique.
    Seule l'équipe de sécurité informatique doit tenter un redémarrage, et même cela ne fonctionnera que s'il s'agit d'un faux scareware ou d'un malware ordinaire.

  • Appelez les forces de l'ordre
    Le rançonnement est un crime - le vol et l'extorsion sont en jeu. La notification aux autorités compétentes est une première étape nécessaire.

  • Déterminer l'ampleur du problème en fonction des renseignements sur la menace
    Votre réponse - y compris le paiement de la rançon - dépend de plusieurs facteurs :

    • Le type d'attaque
    • Qui, dans votre réseau, est compromis
    • Quelles sont les autorisations de réseau des comptes compromis ?
  • Orchestrer une réponse
    Une grande partie de votre réponse consiste à décider si vous allez payer la rançon. La réponse est compliquée et peut vous obliger à consulter les forces de l'ordre et votre conseiller juridique. Dans certains cas, le paiement peut être inévitable.

  • Ne comptez pas sur les outils gratuits de décryptage des ransomwares
    La plupart des outils gratuits ne fonctionnent que pour une seule souche de logiciel contre rançon ou même une seule campagne d'attaque. Lorsque les attaquants mettent à jour leur ransomware, les outils gratuits deviennent obsolètes et ne fonctionneront probablement pas pour votre ransomware.

  • Restauration à partir d'une sauvegarde
    La seule façon de se remettre complètement d'une infection par un ransomware est de tout restaurer à partir de la sauvegarde. Mais même avec des sauvegardes récentes, le paiement de la rançon pourrait être plus logique d'un point de vue financier et opérationnel.

Après l'attentat : Réexaminer et renforcer

Nous recommandons une évaluation de la sécurité de haut en bas pour trouver les menaces qui peuvent encore subsister dans votre environnement. Examinez attentivement vos outils et procédures de sécurité, et voyez où ils ont échoué.

  • Nettoyage
    Certains ransomwares contiennent d'autres menaces ou des chevaux de Troie détournés qui peuvent conduire à de futures attaques. Dans d'autres cas, l'environnement de la victime était déjà compromis, ouvrant une porte au ransomware.
    Examinez de plus près les menaces cachées que vous avez peut-être négligées dans le chaos.

  • Examen post-mortem
    Examinez votre préparation aux menaces, la chaîne des événements qui ont conduit à l'infection et votre réaction. Si vous ne comprenez pas comment l'attaque par rançon s'est déroulée, vous n'avez aucun moyen d'arrêter la prochaine attaque.

  • Évaluez la sensibilisation des utilisateurs
    Un employé bien informé est votre dernière ligne de défense. Assurez-vous que les employés, le personnel ou le corps enseignant sont à la hauteur de la tâche.

  • Éducation et formation
    Élaborer un programme d'études pour traiter de la vulnérabilité des employés aux cyberattaques. Créer un plan de communication de crise en cas d'attaque future, et en assurer le suivi par des exercices et des tests de pénétration.

  • Renforcez vos défenses   
    Le paysage actuel des menaces, qui évolue rapidement, exige des solutions de sécurité capables d'analyser, d'identifier et de bloquer en temps réel les URL et les pièces jointes malveillantes qui servent de véhicules d'attaque principaux pour les ransomwares.
    Recherchez des solutions de sécurité capables de s'adapter aux menaces nouvelles et émergentes et de vous aider à y répondre plus rapidement.

 

[1] Andy Greenberg (Wired). “The Untold Story of NotPetya, the Most Devastating Cyberattack in History.” October 2018.

[2] Olivia Solon and Alex Hern (The Guardian). “'Petya' ransomware attack: what is it and how can it be stopped?” June 2017.