ransomware, goldeneye, chiffrement, prise d'otage

Petrwrap/Petya, une nouvelle attaque mondiale et massive d’un ransomware

Posted On 27 Juin 2017

Plusieurs infrastructures critiques en Ukraine, en Russie et en France ont déjà été mises hors ligne à la suite de ce « nouveau » ransomware. En France, ZATAZ a pu référencer plusieurs entreprises, dont Saint-Gobain, Auchan et au moins une banque nationale touchés par Petrwrap/Petya. L’éditeur d’antivirus Bitdefender a identifié une vague d’attaque ransomware qui se déroule actuellement dans le monde entier. Les premières informations montrent que l’échantillon du malware responsable de l’infection serait un clone quasi identique de la famille GoldenSye Ransomware.

A l’heure actuelle, il n’y a pas d’informations sur le vecteur de propagation, mais nous supposons qu’il soit porté par un ver. Contrairement à la plupart des ransonwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l’ordinateur et une autre qui chiffre les structures NTFS. Le code malveillant a été baptisé Petrwrap/Petya.

« Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD. » explique Bitdefenders.

En outre, une fois que le processus de chiffrement est terminé, le ransomware a une fonction spéciale qui consiste à forcer l’arrêt de l’ordinateur, déclenchant un redémarrage et rendant l’ordinateur inutilisable jusqu’à ce que le rançon de 300 $ soit payée. ZATAZ a pu recevoir plusieurs dizaines d’alertes d’entreprises touchées (Saint-Gobain, Auchan et de nombreuses plus petites structures). Le pirate souhaite se faire envoyer « l’argent » via Bitcoins et l’adresse mail wowsmith123456[92829]@posteo.net comme le montre ma capture écran. Pour avoir vu la bestiole en action, le « crypto maître chanteur » s’installe sur les postes et serveurs de messagerie au démarrage. Il change l’amorce et remplace l’ensemble par un boot avec le mode paiement de la rançon !

La société @Symantec confirme que #Petya utilise SMBv1 pour se répandre. (Source: https://t.co/bq6XV553pK) @zataz #cybersecurite

— Damien Bancal (@Damien_Bancal) June 27, 2017

La boule de neige se répand, Russie, Ukraine, puis Allemagne, France, Danemark, Suéde… les laboratoires pharmaceutiques américains Merck sont tombés sur ce microbe. Bref, le grande village planétaire se prend de plein fouet ce nouvelle grippe… qui espérons le ne se transformera pas en grippe espagnole 2.0.

Photo Maxime Eristavi

Analyse du code pirate : ici & là. Dernier point, de taille ! L’attaque est annoncée depuis… mars 2017. Le groupe derrière PetrWrap a créé un module spécial qui remplace l’original Petya ransomware « à la volée ». C’est ce qui rend ce nouveau logiciel malveillant tellement unique. Pour rappel, PetrWrap retarde son exécution pendant 5400 secondes après être implanté dans la machine piégée.

Via shodan, les potentielles cibles de la #cyberattaque de ce mardi ! Plus de 29000 possibilités en #france – @zataz pic.twitter.com/6iEYDl3lzP

— Damien Bancal (@Damien_Bancal) June 27, 2017

Parmi les IP apparemment impliquées dans petya 95.141.115.108, 111.90.139.247. Il semble y avoir une combinaison d’attaques d’APT lancées simultanément au cours des dernières 24 heures. Ceux-ci incluent Andromeda Botnet avec cette attaque de Petya Ransomware.

Vérifiez que le fichier njdshf73 ne soit pas présent dans votre serveur. Il permet de lancer le DL de #locky @zataz #zataz #securite pic.twitter.com/d0sXyvr6AN

— Damien Bancal (@Damien_Bancal) June 27, 2017

Mode d’emploi

La machine de la victime est verrouillée et le MFT des partitions NTFS est chiffré ;
L’écran s’affiche, comme le montre ma capture écran ci-dessus. Aucun message n’indique qu’il s’agit de Petya. Cela rend plus difficile l’évaluation de l’attaque ;

Malheureusement, cette famille de ransomware utilise un algorithme de chiffrement fort, ce qui signifie qu’un outil de « déchiffrement » est hors de question. Là ou cela devient compliqué… selon l’entreprise de cybersécurité russe Kaspersky Labs l’attaque de ce mardi n’utiliserait pas le rançongiciel Petya.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels

Posted On 08 Oct 2024

, By Damien Bancal

3 Comments

Jeremy 27/06/2017 at 18:47 Reply

Bonjour Damien,
Est-ce que tu ne sais pas comment faire pour anticiper et se protéger de ce type d’attaque?
Dsl je ne suis pas trop technique.

Merci bcp,
- Damien Bancal 27/06/2017 at 21:06 Reply
  
  Bonjour,
  Les principaux éditeurs ont sorti les signatures qui peuvent permettre de bloquer des attaques ; En ce qui concerne les ransomwares : éduquer son personnel à mettre à jour sa machine, ses logiciels, à ne pas cliquer sur fichiers joints, mettre du budget pour des « hommes » dédiés à la sécu.
none 28/06/2017 at 11:10 Reply

« Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD. »
Je ne comprends pas comment.
Vous voulez dire un CD de « recovery », n’est-ce pas?