Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation
Et donne des recommandations pour l'éviter

Le , par Stéphane le calme, Chroniqueur Actualités
La vague d’attaques mondiales au ransomware, qui rappelle le tristement célèbre WannaCry, n’a pas manqué de toucher également la France. La CERT-FR, cellule nationale d’alertes aux menaces informatiques, a émis un bulletin d’alerte qui indique que cette campagne de rançongiciels dispose de multiples capacités de propagation.

Le risque encouru ? Les entreprises et particuliers pourront subir l’installation et propagation d’un logiciel malveillant de type rançongiciel, voire, à terme, d’autres logiciels malveillants.

Concernant le vecteur de propagation, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (qui est rattaché à l’Agence nationale de la sécurité des systèmes d’information ou ANSSI) a précisé que l’ANSSI ne dispose pas à cette heure de preuves suffisantes permettant de définir de façon certaine le vecteur initial d’infection. Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017- 0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant.

Microsoft indique que le logiciel de paiement de taxe MEDoc pourrait être un des vecteurs initiaux d’infection via une mise à jour automatique. Lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW.

Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau :
  • en utilisant les identifiants récupérés sur la machine ;
  • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

« La ressemblance avec Petya n'est que superficielle », a noté le spécialiste en sécurité informatique The Grugq. « Bien qu'il y ait un partage significatif de code, le vrai Petya était une entreprise criminelle établie pour gagner de l'argent. Ce [dernier logiciel malveillant] n'est certainement pas conçu pour gagner de l'argent. Il est conçu pour se répandre rapidement et causer des dégâts, avec une couverture plausiblement invalidable de ransomware. »

Certains analystes ont trouvé des traces de Petya dans ce nouveau ransomware, d’autres ont plutôt trouvé des souches de GoldenEye. Aussi, en attendant d’avoir plus d’informations, certains ont décidé de le baptiser Petya/NotPetya.

Voici un résumé de la campagne de piratage de Petya/NotPetya.
  • Le logiciel malveillant utilise un tas d'outils pour se déplacer dans un réseau, en infectant les machines au fur et à mesure. Il utilise une version modifiée de l’outil open source Minikatz pour extraire les informations d'identification des administrateurs réseau hors de la mémoire en cours d'exécution de la machine. Il utilise ces détails pour se connecter et exécuter des commandes sur d'autres machines en utilisant PsExec et WMIC pour les infecter.
  • Il utilise également une version modifiée de l'exploit EBSBlue SMB de la NSA, précédemment utilisé par WannaCry, en plus de l'exploit EternalRomance SMB (également de la NSA) pour infecter d'autres systèmes en leur injectant un code malveillant. Il s’appuie sur des vulnérabilités qui ont été corrigées par Microsoft plus tôt cette année, de sorte que le vol d'identification a plus de chances de réussite sur des machines qui n’ont pas effectué la mise à jour.
  • Le logiciel cherche à obtenir un accès administrateur sur une machine, puis tire parti de ses privilèges pour commander d'autres ordinateurs sur le réseau : il profite du fait que nombreuses sont les entreprises qui se servent de configuration réseaux dans lesquelles un administrateur sur un point final peut contrôler d'autres machines, ou alors il récupère les informations d'identification de l'administrateur de domaine en mémoire, jusqu'à ce que le contrôle total sur le réseau Windows soit atteint.
  • Une façon d'obtenir un accès administratif est d'utiliser les exploits NSA. Une autre façon est de faire passer le logiciel malveillant pour une mise à jour sur une suite d'applications en cours d'exécution en tant qu'administrateur ou administrateur de domaine, ce qui va provoquer l’exécution du logiciel malveillant sur le réseau de l'entreprise avec de grands privilèges. Il est entendu que Petya/NotPetya est entré dans les réseaux d'entreprise en tant qu'administrateur via une mise à jour logicielle détournée par un outil de logiciel fiscal ukrainien et par courrier électronique de phishing.
  • Avec l'accès à l'administrateur, le logiciel malveillant peut réécrire le Master Boot Record (zone d’amorçage) du disque dur de la station de travail locale, il peut également chiffrer les tables et les fichiers du système de fichiers sur le lecteur. NotPetya utilise AES-128 pour chiffrer les données.

Le CERT-FR recommande :
  • l’application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17- 010 ;
  • le respect des recommandations génériques relatives aux rançongiciels ;
  • de limiter l’exposition du service SMB, en particulier sur internet ;
  • respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l’élévation de privilèges et la propagation latérale de l’attaquant ;
  • de ne pas payer la rançon. En outre, les mesures suivantes permettraient de limiter la propagation des souches aujourd’hui identifiées :
    • empêcher l’exécution de PSExec sur les machines,
    • empêcher la création de processus à distance par WMI,
    • empêcher l’exécution de C:\Windows\perfc.dat,
    • créer un fichier vide C:\Windows\perfc.

De manière préventive, s’il n’est pas possible de mettre à jour une machine, il est recommandé de l’isoler logiquement, voire de l’éteindre le temps d’appliquer les mesures adaptées de protection. La désactivation du protocole SMBv1 peut être un plus, mais ne saurait remplacer l’installation des correctifs.

Source : bulletin d'alerte CERT-FR (au format PDF), The Grugq

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Tartare2240 Tartare2240 - Membre averti https://www.developpez.com
le 28/06/2017 à 17:09
Avatar de Malick Malick - Community Manager https://www.developpez.com
le 28/06/2017 à 17:49
Salut,

Citation Envoyé par Tartare2240 Voir le message
Chez moi le premier lien fourni comme source fonctionne bien ; c'est un fichier PDF qui est téléchargé en cliquant dessus.
Avatar de Jipété Jipété - Expert éminent sénior https://www.developpez.com
le 28/06/2017 à 19:26
Bonsoir,
Citation Envoyé par Grimly Voir le message
Si tu laisses les registres NTFS, la structure de ton disque (tes dossiers, le nom de tes fichiers, leur taille sur le disque, etc...) reste intacte et du coup, si tu vois le problème arriver, tu peux récupérer ce qui n'a pas encore été crypté en bootant sur un Unix. Si tu cryptes ces registres, le disque est irrécupérable quasiment dès le début de l'opération.
C'est quoi les registres NTFS ? Jamais entendu parler depuis NT4...

Citation Envoyé par philou44300 Voir le message
Citation Envoyé par Stéphane le calme Voir le message
Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD ».
Bonjour,
Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
Quant à ça, je suspecte une mauvaise traduction car je ne vois pas en quoi le cryptage d'un disque empêcherait le boot sur un LiveCD. Que ça empêche la récupération, d'accord, mais le boot
Avatar de e101mk2 e101mk2 - Membre averti https://www.developpez.com
le 28/06/2017 à 19:38
Pour moi aussi le lien fonctionne, pourquoi ton nav rajoute des espace est un mystère...

Voila le problème des portes dérobées créer intentionnellement, si les pirates les trouvent, sa peut vite devenir un problème.
Surtout quand ils savent qu'elles existent, les teams ne renoncent pas devant un défis...

Citation Envoyé par Jipété Voir le message

Quant à ça, je suspecte une mauvaise traduction car je ne vois pas en quoi le cryptage d'un disque empêcherait le boot sur un LiveCD. Que ça empêche la récupération, d'accord, mais le boot
Je suis tout a fait d'accord avec toi, mais je connais pas assez l'UEFI pour en parler, sachant que certains ordinateurs portable ,elle est obligatoire.
Avatar de philou44300 philou44300 - Membre habitué https://www.developpez.com
le 29/06/2017 à 7:48
Merci pour vos retours et effectivement Jipété je ne comprend pas aussi en quoi cela empêche de démarrer à partir d'un live cd. Je pense également que cela empêche de récupérer les données à partir d'un live cd car, comme expliqué par Grimly, cela doit chiffrer ce qui contient les emplacements des fichiers sur le disque dûr (mais je ne m'y connais pas assez dans ce domaine).
Avatar de Florian_PB Florian_PB - Membre averti https://www.developpez.com
le 29/06/2017 à 9:03
Petya, c'est pas celui dont il existait un dépôt github qui a été supprimé il n'y a pas longtemps dont le github servait à montrer comment ça marche et comment reverse les effets du virus ?

EDIT : My bad le dépôt existe toujours : https://github.com/leo-stone/hack-petya
Avatar de wax78 wax78 - Modérateur https://www.developpez.com
le 29/06/2017 à 14:01
Citation Envoyé par Malick Voir le message
Salut,

Chez moi le premier lien fourni comme source fonctionne bien ; c'est un fichier PDF qui est téléchargé en cliquant dessus.
Bah non chez moi non plus le premier lien n'est pas bon il y'a %20 (espace) dans l'url... Pour le PDF c'est le 2ème lien qui lui est valide.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 29/06/2017 à 15:58
Il s'agirait en fait d'un wiper déguisé en ransomware , le but n'étant donc pas de gagner de l'argent mais de détruire les données des postes ciblés.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 29/06/2017 à 18:47
Petya/NotPetya serait un wiper déguisé en ransomware
son objectif serait de supprimer irrévocablement les données de ses victimes

Plusieurs experts en sécurité soutiennent que Petya/NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware. C’est-à-dire que son objectif est de détruire les données de ses victimes. L’analyse d’échantillons de son code source indique en effet que ce malware est destiné à supprimer de manière irrévocable les données de ses victimes et non de les restaurer après paiement de la rançon de 300 $ demandée.

Pour information, ce « faux » ransomware qui a tout de suite fait penser à WannaCry a commencé à semer la terreur ce mardi 27 juin. Se propageant comme un ver, Petya/NotPetya a infecté de nombreuses entreprises et organisations, notamment en Ukraine. Les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de la campagne mondiale du ransomware WannaCry. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.



Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données.

Kaspersky a analysé la routine de déchiffrement du nouveau malware et a découvert que l'acteur de la menace ne peut déchiffrer le disque des victimes, même si un paiement est effectué. Tout d'abord, il faut noter qu’afin de déchiffrer le disque de la victime, les attaquants ont besoin d’un ID d'installation fourni dans le message de demande de rançon. Dans les versions antérieures des ransomwares similaires (le cas de Petya notamment), cet ID d'installation contient des informations cruciales pour générer la clé de déchiffrement. Une fois cette information est envoyée à l'attaquant, il peut alors extraire la clé de déchiffrement. Dans le cas de Petya/NotPetya, l'ID affiché dans le message de demande de rançon est simplement une donnée aléatoire. « Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne générée de manière aléatoire affichée à la victime et, par conséquent, les victimes ne pourront déchiffrer aucun des disques chiffrés à l'aide de l'ID d'installation », explique Kaspersky.

D’après la firme de sécurité russe, « cela renforce la théorie selon laquelle l'objectif principal de l'attaque de [Petya/NotPetya] n'était pas motivé financièrement, mais était destructeur ».

Dans une autre analyse indépendante, Matt Suiche de Comae Technologies conclut que les développeurs de Petya/NotPetya ont simplement réécrit Petya de sorte que les données des victimes soient supprimées de manière irrévocable. Il découvre que le malware écrase expressément les 25 premiers blocs des disques des machines de ses victimes. Les « 24 blocs à la suite du premier bloc sont remplacés, ils ne sont pas lus ou enregistrés quelque part. Alors que la version originale de Petya lit correctement chaque bloc et les encode de manière réversible », explique Matt Suiche. Autrement dit, la version originale de Petya modifie le disque de manière à pouvoir rétablir ses modifications, alors que Petya/NotPetya inflige des dommages permanents et irréversibles au disque.

Dans un tweet, l’expert en sécurité de Comae Technologies affirme que « les ransomwares et hackers sont en train de devenir les boucs émissaires des attaquants [parrainés par des gouvernements]. » Il pense en effet que Petya/NotPetya est en fait « un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry, pour attirer l'attention sur un groupe de pirates mystérieux plutôt que sur un attaquant [parrainé par un gouvernement] », comme cela a été le cas dans le passé avec des malwares similaires visant à détruire des données de certaines organisations. L’Ukraine majoritairement touchée serait donc la cible.

Sources : Kaspersky, Matt Suiche

Et vous ?

Que pensez-vous des analyses faites par Kaspersky et Matt Suiche ?

Voir aussi :

Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement, avec un outil de Kaspersky
Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins, suite à une attaque de ransomware Linux
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 29/06/2017 à 20:39
Comment dit-on en Russe "Vlad, arrête tes conneries stp ?"
Contacter le responsable de la rubrique Accueil