WannaCry 2.0 ? Une autre campagne mondiale d'attaques informatiques aux ransomwares a eu lieu
L'Ukraine en est la principale victime

92PARTAGES

11  0 
Aujourd’hui, Maersk, le grand armateur danois, a signalé avoir été la cible d’une cyberattaque : « Nous pouvons confirmer que les systèmes informatiques Maersk sont en panne sur plusieurs sites et unités d'affaires en raison d'une cyberattaque », a déclaré le Danois sur son site Web.

Le poids lourd russe du pétrole Rosnoft s’est vu obligé de passer sur ses serveurs de secours après avoir affirmé qu’il était confronté à une « puissante cyberattaque ». L’annonceur britannique WPP a déclaré sur son Facebook qu'il a également été frappé par une cyberattaque, de même que le cabinet d'avocats DLA Piper.

Le laboratoire pharmaceutique Merck est devenu la première victime connue aux États-Unis, son système informatique ayant été « compromis ». Le problème aurait même été répandu à ses filiales à l’extérieur des frontières américaines comme celle en Irlande, renvoyant les employés plus tôt chez eux, faute de pouvoir travailler.

« [Nous voyons] plusieurs milliers de tentatives d'infection en ce moment, de taille comparable aux premières heures de WannaCry » , a déclaré Costin Raiu, de Kaspersky Lab, qui a prévenu sur Twitter que le logiciel malveillant « se répand dans le monde entier, un grand nombre de pays sont affectés .»

Aucun lien officiel n'avait été établi cet après-midi entre ces différentes attaques, apparemment simultanées, mais des informations rapportées par plusieurs entreprises faisaient état d'un virus faisant apparaître une demande de rançon de 300 dollars sur l'écran de leurs ordinateurs.

BitDefender, le spécialiste en sécurité, a imputé la responsabilité de ces attaques à une souche d’un ransomware baptisé GoldenEye et qui a des ressemblances avec le virus Wannacry, qui avait défrayé la chronique début mai.

L'Ukraine cible principale

L'impact semble avoir été plus sévère en Ukraine, selon Kaspersky. À cause de cette attaque, les passagers du métro de Kiev ne pouvaient pas payer en carte bancaire, les panneaux d'affichage de l'aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients.

« La Banque Nationale d'Ukraine a signalé aux banques et aux autres agents du marché financier une attaque informatique externe menée aujourd'hui contre les sites des banques ukrainiennes et d'entreprises publiques et commerciales » , selon un communiqué de la banque centrale ukrainienne (NBU).

Selon la société spécialisée en sécurité informatique Group-IB, « environ 80 entreprises ont été visées » en Russie et en Ukraine: dont Rosneft et de grosses banques ukrainiennes, mais aussi Mars, Nivea, Auchan et des structures gouvernementales ukrainiennes. Il s'agirait des conséquences d'une « version modifiée récemment » du virus Petya, selon la même source.


Mais Igor Zdobnov, Chief Malware Analyst chez Doctor Web, réfute la possibilité qu’il s’agisse d’une version modifiée de Petya : « Il s’agit en fait d'une nouvelle version de ce Trojan. Certains médias font des parallèles avec le ransomware Petya (qui est détecté par Dr.Web comme Trojan.Ransom.369) en prenant en compte certaines manifestations externes de ses activités, cependant, la méthode de propagation de la nouvelle menace est différente du schéma standard utilisé dans Petya. »

En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque « sans précédent ». « Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires », a indiqué la banque centrale.

Le site du gouvernement ukrainien a été bloqué, tout comme celui de la centrale Tchernobyl.
En raison de pannes informatiques, la mesure du niveau de radiation sur le site, à l'arrêt total depuis 2000, se faisait « manuellement ».

« Cela veut dire que nos techniciens mesurent la radioactivité avec des compteurs Geiger sur le site de la centrale, comme on le faisait il y a des dizaines d'années », a déclaré Olena Kovaltchouk, la porte-parole de l'Agence gouvernementale de gestion de la zone d'exclusion de Tchernobyl, ajoutant ne pas savoir quand un retour à la normale serait possible.

Comment se répand le virus ?

BitDefender a assuré qu’à l’heure actuelle, il n'y a pas d'informations sur le vecteur de propagation. Cependant, l’entreprise suppose qu’il est porté par un ver. « Contrairement à la plupart des ramsonwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l'ordinateur et une autre qui chiffre les structures NTFS. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD ».

« En outre, une fois que le processus de chiffrement est terminé, le ransomware a une fonction spéciale qui consiste à forcer l’arrêt de l'ordinateur, déclenchant un redémarrage et rendant l'ordinateur inutilisable jusqu'à ce que la rançon de 300 $ soit payée. »

Comme l'a noté le cabinet de sécurité FireEye en avril, les attaques exploitant une faille Windows, différente de celle que l’exploit EternalBlue utilisait, permettent à un pirate informatique d'exécuter des commandes sur un PC de l'utilisateur lorsqu'il ouvre un document malveillant. FireEye a vu des documents Office contenir le hack et télécharger des logiciels malveillants populaires sur des ordinateurs cibles.

Le PDG de Hacker House, Matthew Hickey, a déclaré que les attaques initiales semblaient avoir été livrées par cette dernière attaque, en utilisant des courriels de phishing contenant des fichiers Excel. Les logiciels malveillants de Petya se sont peut-être propagés si vite en utilisant par la suite les caractéristiques de l'attaque de la NSA, a-t-il ajouté, confirmant que le code du ransomware utilisait certainement EternalBlue.

« Cette fois, elle va atteindre les gens qui n'ont pas été touchés par WannaCry parce qu'elle ira dans les réseaux internes par courrier électronique », a averti Hickey.

Source : Forbes

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/02/2019 à 8:55
Quelle bande d'escrocs ces assureurs !
2  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 28/06/2017 à 19:26
Bonsoir,
Citation Envoyé par Grimly Voir le message
Si tu laisses les registres NTFS, la structure de ton disque (tes dossiers, le nom de tes fichiers, leur taille sur le disque, etc...) reste intacte et du coup, si tu vois le problème arriver, tu peux récupérer ce qui n'a pas encore été crypté en bootant sur un Unix. Si tu cryptes ces registres, le disque est irrécupérable quasiment dès le début de l'opération.
C'est quoi les registres NTFS ? Jamais entendu parler depuis NT4...

Citation Envoyé par philou44300 Voir le message
Citation Envoyé par Stéphane le calme Voir le message
Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD ».
Bonjour,
Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
Quant à ça, je suspecte une mauvaise traduction car je ne vois pas en quoi le cryptage d'un disque empêcherait le boot sur un LiveCD. Que ça empêche la récupération, d'accord, mais le boot
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 29/06/2017 à 20:39
Comment dit-on en Russe "Vlad, arrête tes conneries stp ?"
1  0 
Avatar de spawntux
Membre confirmé https://www.developpez.com
Le 04/08/2017 à 17:31
Bonjour,

En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche .

Tip top tout ca
1  0 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 03/02/2019 à 20:21
Il faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 27/06/2017 à 21:57
D'après ce que j'ai pu comprendre, l'entrée se fait par phishing et la contamination du réseau par EternalBlue ou outils d'administration Microsoft demandant malgré tout des droits admin pour opérer mais quel est le payload pour les obtenir...
Moralité : dès que vous êtes touchés, coupez tous les accès réseaux. C'est une belle merde. Et faites vos sauvegardes. Curieusement, seul l'occident est impacté et le dernier pays anti-occident restant dans le monde s'appelle la Corée du nord.

Edit : Ce ne serait pas la Corée ? Qui a intérêt à blaster l'Ukraine ? Les américains en faisant porter le chapeau ? Un tir ami extrêmement douloureux à mon sens...
1  1 
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 28/06/2017 à 10:00
> L'impact semble avoir été plus sévère en Ukraine, selon Kaspersky. À cause de cette attaque, les passagers du métro de Kiev ne pouvaient pas payer en carte bancaire, les panneaux d'affichage de l'aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients.

Dingue, il y a +20 ans, c'était surtout la trame d'un film d'action.

Déjà on en parlait pour dire que vraiment c'est pas terrible.

Figurez vous que la réalité dépasse la fiction.

De cela j'invite les gens à bien réfléchir à ce qu'ils font il y à plusieurs sujets technologique qui impacte la vie quotidienne et dont on soupçonne bien le pouvoir néfaste mais que l'on refuse de voir.

_____

Cette attaque, vu le peu qu'on en sait dans la news, pas grand chose à en dire.

Par contre, je trouve très intéressant cette idée de déployer sur les médias de masse l'idée d'une attaque informatique de grande ampleur fictive afin de manipuler les cours de la bourse (comme en '29).
0  0 
Avatar de philou44300
Membre habitué https://www.developpez.com
Le 28/06/2017 à 11:35
cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l'ordinateur et une autre qui chiffre les structures NTFS. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD »
Bonjour,
Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
0  0 
Avatar de Grimly
Membre averti https://www.developpez.com
Le 28/06/2017 à 13:34
Citation Envoyé par philou44300 Voir le message
Bonjour,
Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
Bonjour philou44300,

Si tu laisses les registres NTFS, la structure de ton disque (tes dossiers, le nom de tes fichiers, leur taille sur le disque, etc...) reste intacte et du coup, si tu vois le problème arriver, tu peux récupérer ce qui n'a pas encore été crypté en bootant sur un Unix. Si tu crypte ces registres, le disque est irrécupérable quasiment dès le début de l'opération.
0  0 
Avatar de Tartare2240
Membre averti https://www.developpez.com
Le 28/06/2017 à 17:09
Coquille dans la première URL :

http://www.cert.ssi.gouv.%20fr/site/...001/index.html ==> http://www.cert.ssi.gouv.fr/site/CER...001/index.html (Petya/NotPetya)
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web