Nouvelle Attaque cette fois Petya le " rançongiciel " a la place de WannaCry
Alors Comment fonctionne Petya, le virus qui a touché de nombreuses très grandes entreprises: Il s’est répandu à très grande vitesse, et est plus évolué que son prédécesseur, WannaCry.
Après WannaCry, Petya. Pour la deuxième fois en quelques semaines, un « rançongiciel » "ransomware, en anglais" s’est largement propagé sur le web, rendant inutilisable de nombreux ordinateurs et perturbant lourdement le fonctionnement de plusieurs grandes entreprises.Le code de ce rançongiciel a été déchiffrer par de nombreux experts et entreprises de sécurité informatique ces dernières heures, permettant de mieux comprendre la manière dont il fonctionne.
Donc Que fait Petya exactement ?
Petya est un rançongiciel qui vise les systèmes Windows : Petya rend indisponibles les données d’un ordinateur, qui ne peuvent être déverrouillées qu’en versant une rançon. Il s’agit d’une variation très modifiée d’une souche apparue au printemps 2016.
A la différence de WannaCry, Petya commence par s’attaquer à la toute petite partie du disque dur – qui recense tous les fichiers présents dans la mémoire d’un ordinateur – et la chiffre, les rendant inutilisables. Aprés, il s’en prend à la partie du disque dur qui permet de lancer le système d’exploitation, le logiciel qui fait fonctionner l’ordinateur. Cette partie est modifiée de manière à ce que l’ordinateur ne puisse plus démarrer en utilisant le système d’exploitation prévu.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatique
Ensuite lorsqu’on allume l’ordinateur, c’est Petya qui se lance, et le rançongiciel fait son travail. Un message s’affiche alors, réclamant que soient envoyés 300 dollars en bitcoin "la monnaie électronique" pour obtenir la clé de déchiffrement de vos données.
Il est déconseillé de verser la rançon : outre le fait que payer entretient les réseaux mafieux qui se cachent souvent derrière les rançongiciels, l’adresse e-mail qui servait aux auteurs de Petya à rentrer en contact avec les victimes a été désactivée par le fournisseur de messagerie, rendant tout versement parfaitement inutile.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueUne fois installé sur un ordinateur, Petya va chercher à y obtenir les plein pouvoirs et repérer les autres appareils branchés sur le même réseau. Le rançongiciel va ensuite fouiller dans l’ordinateur qu’il a infecté pour récupérer des identifiants et des mots de passe qu’il va pouvoir ensuite réutiliser dans le réseau pour prendre le contrôle d’autres appareils et démultiplier sa propagation. Ensuite, à l’aide de fonctionnalités classiques de Windows utilisées pour gérer les réseaux, après il va se transférer vers d’autres machines.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueOutre cette fonctionnalité, il utilise aussi deux outils – EternalBlue et EternalRomance – volés à la NSA, la puissante agence de renseignement américaine, qui, en exploitant une faille dans un protocole permettant aux ordinateurs de se « communiquer » au sein d’un même réseau, permettent sa propagation de machine en machine. EternalBlue était d’ailleurs déjà utilisé par WannaCry.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueL’utilisation de plusieurs méthodes d’infection expliquerait pourquoi certaines machines pourtant immunisées contre EternalBlue et EternalRomance, car ayant installé les mises à jour de sécurité correspondantes de Microsoft, soient quand même infectées par Petya.
Le mécanisme de propagation à l’intérieur d’un réseau d’une entreprise fait que les postes de travail classiques (Ordinateur ) ne sont pas les seuls à succomber à Petya. Des ordinateurs plus centraux, plus sensibles, sont aussi atteints, comme les serveurs sur lesquels fonctionnent les sites Web. C’est pour cette raison que plusieurs sites du groupe Saint-Gobain étaient inaccessibles mercredi 28 juin au matin, selon une source interne.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueSelon plusieurs sources (développeurs) , notamment l’unité de la police ukrainienne spécialisée dans le cybercrime, une mise à jour du logiciel de comptabilité ukrainien MeDoc aurait été corrompue. Dissimulé à l’intérieur, Petya aurait infecté les machines des internautes mettant à jour leur logiciel. Microsoft affirme même disposer de preuves. Une infection par le biais d’un logiciel de comptabilité très utilisé dans les entreprises ukrainiennes expliquerait pourquoi ce pays a été si durement touché par Petya. Son extrême viralité à l’intérieur des réseaux expliquerait de son côté pourquoi des entreprises dans le monde entier ont été touchées : par effet domino, une machine qui succombe à Petya a de grandes chances d’en infecter d’autres à son tour, et ainsi de suite.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueDe plus en plus d’indices vont dans ce sens. Après avoir reconnu avoir subi une attaque, l’entreprise développant ce logiciel a rétropédalé et s’est défendue sur Facebook de toute compromission de ses systèmes. Elle y adopte une ligne de défense très similaire à un événement troublant survenu à la fin du mois de mai : l’entreprise niait déjà qu’une nouvelle version de son logiciel avait servi de vecteur à la propagation d’un autre ransomware, XData, apparu peu après la mise à jour de MeDoc. Maersk, le grand groupe spécialiste de la logistique et du transport maritime, frappé de plein fouet par le rançongiciel, utilisait très vraisemblablement MeDoc dans ses filiales en Ukraine, comme l’atteste une annonce d’emploi diffusée récemment par l’entreprise pour un poste de comptable basé en Ukraine.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueCertaines développeurs ont avancé la possibilité que Petya ait pu infecter ses victimes sous la forme d’un document piégé joint à un courriel électronique, exploitant une faille découverte il y a quelques semaines. C’était la possibilité évoquée notamment par la police ukrainienne, sur Twitter et par le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi). Mercredi, ce dernier a finalement exclu cette possibilité, comme la plupart des experts en informatique ayant analysé le logiciel malveillant.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueDonc, aucun outil de déchiffrement n’a été découvert pour récupérer les données chiffrées par Petya. Il avait fallu attendre quelques jours pour qu’une solution – partielle – soit trouvée pour WannaCry. « Le rançongiciel utilise un mécanisme de chiffrement standard et solide », écrivent par exemple les chercheurs de Symantec, estimant « peu probable » l’arrivée d’une solution de déchiffrement.
Il est déconseillé de verser la rançon : outre le fait que payer entretient les réseaux mafieux qui se cachent souvent derrière les rançongiciels, l’adresse e-mail qui servait aux auteurs de Petya à rentrer en contact avec les victimes a été désactivée par le fournisseur de messagerie, rendant tout versement parfaitement inutile.
Comment se propage-t-il sur le net?
Les développeurs de ce rançongiciel ont mis beaucoup de soin aux fonctionnalités d’infection de Petya, qui utilise plusieurs méthodes de propagation dites « latérales », vers les ordinateurs appartenant au même réseau que la machine infectée.Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueUne fois installé sur un ordinateur, Petya va chercher à y obtenir les plein pouvoirs et repérer les autres appareils branchés sur le même réseau. Le rançongiciel va ensuite fouiller dans l’ordinateur qu’il a infecté pour récupérer des identifiants et des mots de passe qu’il va pouvoir ensuite réutiliser dans le réseau pour prendre le contrôle d’autres appareils et démultiplier sa propagation. Ensuite, à l’aide de fonctionnalités classiques de Windows utilisées pour gérer les réseaux, après il va se transférer vers d’autres machines.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueOutre cette fonctionnalité, il utilise aussi deux outils – EternalBlue et EternalRomance – volés à la NSA, la puissante agence de renseignement américaine, qui, en exploitant une faille dans un protocole permettant aux ordinateurs de se « communiquer » au sein d’un même réseau, permettent sa propagation de machine en machine. EternalBlue était d’ailleurs déjà utilisé par WannaCry.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueL’utilisation de plusieurs méthodes d’infection expliquerait pourquoi certaines machines pourtant immunisées contre EternalBlue et EternalRomance, car ayant installé les mises à jour de sécurité correspondantes de Microsoft, soient quand même infectées par Petya.
Le mécanisme de propagation à l’intérieur d’un réseau d’une entreprise fait que les postes de travail classiques (Ordinateur ) ne sont pas les seuls à succomber à Petya. Des ordinateurs plus centraux, plus sensibles, sont aussi atteints, comme les serveurs sur lesquels fonctionnent les sites Web. C’est pour cette raison que plusieurs sites du groupe Saint-Gobain étaient inaccessibles mercredi 28 juin au matin, selon une source interne.
Comment arrive-t-il sur les réseaux ?
Si l’on sait comment Petya se déplace d’un ordinateur à un autre au sein d’un même réseau, dans une Société par exemple, on ne sait pas comment la première infection de ce réseau est effectuée. Contrairement à WannaCry, les experts n’ont pas découvert de mécanisme permettant à Petya de sortir du réseau qu’elle a infecté. Plusieurs hypothèses ont été avancées par les experts.Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueSelon plusieurs sources (développeurs) , notamment l’unité de la police ukrainienne spécialisée dans le cybercrime, une mise à jour du logiciel de comptabilité ukrainien MeDoc aurait été corrompue. Dissimulé à l’intérieur, Petya aurait infecté les machines des internautes mettant à jour leur logiciel. Microsoft affirme même disposer de preuves. Une infection par le biais d’un logiciel de comptabilité très utilisé dans les entreprises ukrainiennes expliquerait pourquoi ce pays a été si durement touché par Petya. Son extrême viralité à l’intérieur des réseaux expliquerait de son côté pourquoi des entreprises dans le monde entier ont été touchées : par effet domino, une machine qui succombe à Petya a de grandes chances d’en infecter d’autres à son tour, et ainsi de suite.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueDe plus en plus d’indices vont dans ce sens. Après avoir reconnu avoir subi une attaque, l’entreprise développant ce logiciel a rétropédalé et s’est défendue sur Facebook de toute compromission de ses systèmes. Elle y adopte une ligne de défense très similaire à un événement troublant survenu à la fin du mois de mai : l’entreprise niait déjà qu’une nouvelle version de son logiciel avait servi de vecteur à la propagation d’un autre ransomware, XData, apparu peu après la mise à jour de MeDoc. Maersk, le grand groupe spécialiste de la logistique et du transport maritime, frappé de plein fouet par le rançongiciel, utilisait très vraisemblablement MeDoc dans ses filiales en Ukraine, comme l’atteste une annonce d’emploi diffusée récemment par l’entreprise pour un poste de comptable basé en Ukraine.
Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueCertaines développeurs ont avancé la possibilité que Petya ait pu infecter ses victimes sous la forme d’un document piégé joint à un courriel électronique, exploitant une faille découverte il y a quelques semaines. C’était la possibilité évoquée notamment par la police ukrainienne, sur Twitter et par le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi). Mercredi, ce dernier a finalement exclu cette possibilité, comme la plupart des experts en informatique ayant analysé le logiciel malveillant.
Pas de « killswitch » ni d’outil de déchiffrement de Petya
Petya ne dispose pas de mécanisme d’arrêt similaire à celui qui a été découvert rapidement après l’apparition de WannaCry. En créant un simple site Web, des experts avaient pu largement entraver la propagation de WannaCry. Mieux codé, Petya ne peut pas être stoppé de la même manière. Certains experts ont cependant découvert qu’il était possible d’immuniser son système contre une future infection de Petya, en créant un simple fichier. C’est un remède qui ne fonctionne que sur la machine sur laquelle il est appliqué et n’empêche pas Petya de se propager à d’autres ordinateurs.Europe, Ukraine, Malware, Cybercriminalité, Internet, Technologie, Nouvelles du monde, Sécurité des données et de l'informatiqueDonc, aucun outil de déchiffrement n’a été découvert pour récupérer les données chiffrées par Petya. Il avait fallu attendre quelques jours pour qu’une solution – partielle – soit trouvée pour WannaCry. « Le rançongiciel utilise un mécanisme de chiffrement standard et solide », écrivent par exemple les chercheurs de Symantec, estimant « peu probable » l’arrivée d’une solution de déchiffrement.
Nouvelle Attaque cette fois Petya le " rançongiciel " a la place de WannaCry
Reviewed by Badr Dev
on
14:23
Rating:
Aucun commentaire: