Quand NotPetya ringardise Locky et WannaCry

Et si Wannacry n’était que le début ?

Si l’impact du tristement célèbre ransomware avait pu il y a quelques semaines être minimisé grâce à un « kill switch » [1] repéré par un expert, il semble que NotPetya, qui emploie des méthodes semblables, soit plus perfectionné et marque une montée en puissance à venir de ce type d’attaque…

NotPetya, ça marche comment ?

L’attaque semble avoir démarré le 27/06/2017 vraisemblablement via une mise à jour falsifiée du logiciel fiscal de l’éditeur Ukrainien M.E. Doc. [2], mais d’autres techniques d’infection ont peut-être été utilisées...

Une fois le poste infecté, la grande force de NotPetya est de scanner le réseau local puis de se propager rapidement à toutes ses machines (on appelle ceci un « pivot latéral »). pour cela, il extrait les mots de passe présents en mémoire en réutilisant une partie du code de Mimikatz (outil open-source de pentesting français), puis tente de se répandre via les partages administratifs (ADMIN$) et les protocoles PSEXEC et WMI [3], puis programme un redémarrage de la machine entre 10 et 60 minutes après l’infection, tout en chiffrant les premiers secteurs du disque dur (MBR) si les droits administrateurs ont pu être acquis (sinon, le chiffrement se fait en « user-mode »).

Lors du reboot, NotPetya crypte les fichiers les plus importants du disque dur des machines infectées (en affichant un faux message CHKDSK –si vous le voyez, débranchez le courant pour stopper la procédure de chiffrement-), rendant tout simplement illisibles ces derniers.

Un message d’alerte s’affiche alors sous forme d’une demande de rançon :

[IMAGE]

Le montant demandé pour décrypter les fichiers est l’équivalent de 300 dollars en bitcoins (une crypto-monnaie très appréciée pour l’anonymat qu’elle procure à ses utilisateurs). La victime doit verser le montant sur un compte, puis envoyer a une adresse email le numéro de série donné par le ransomware, associé au numéro de transaction Bitcoin prouvant le paiement. Toutefois l’adresse e-mail en question a été désactivée par l’hébergeur, donc impossible de contacter les pirates désormais [4].

Un Ransomware ou un Wiper ?

Il est vrai que la question se pose tant l’analyse du malware démontre des fonctions défaillantes : -
- La « clé d’installation » affichée à l’écran ne permet pas techniquement aux pirates de fournir une quelconque solution de déchiffrement [5] - Certaines données vitales du disque sont purement et simplement écrasée [6] - Certains fichiers sont chiffrés de manière incorrecte, empêchant leur déchiffrement futur [7]

Ainsi, la plupart des analystes pensent aujourd’hui que l’attaque n’était pas motivée par l’appât du gain, mais plutôt pour le sabotage et la destruction [7], toutefois le doute est encore permis car il semblerait que le chiffrement utilisé en « user-mode » (lorsque le malware n’a pu obtenir les droits admin) serai lui fonctionnel [8].

Les fichiers cryptés par Petya :

Voici un tweet de Miko Hypponen, Chief Research Officer chez F-Secure, détaillant les extensions cryptées :

[IMAGE]

Des entreprises encore mal protégées

La vulnérabilité Microsoft exploitée par NotPetya est pourtant corrigée par l’éditeur depuis le mois de mars dernier. Cependant, il semble que beaucoup d’entreprises n’aient pas mis à jour certains de leurs postes clients (il suffit d’un seul, rappelez-vous !). Sans parler du parc Windows XP encore en activité, et non supporté par Microsoft (qui a tout de même par la suite publié un patch de sécurité dédié à l’ancien OS).

De plus, la vitesse à laquelle le malware s’est répandu sur des réseaux locaux laisse à penser que les principes de segmentation (firewall réseau) et de défense en profondeur (firewall personnel, moindre privilège…) ne sont pas encore bien appliqués.

Comment remédier, une fois les fichiers cryptés ?

  • Restaurer depuis la dernière sauvegarde
  • activer un parefeu personnel pour se prémunir d’une éventuelle réinfection
  • effectuer les mises à jour de Windows et de sa solution anti-virale.

Comment se prémunir ?

Il y a de multiples façons de se protéger : les bonnes pratiques, qui doivent être observées et appliquée par l’IT mais aussi par les utilisateurs, mais surtout, parce que l’erreur est humaine, les solutions de sécurité du poste de travail, qui permettent de rendre systémique l’application des règles de sécurité en entreprise :

LES BONNES PRATIQUES

  • Effectuer les mises à jour de sécurité Microsoft, même sur les machines « exotiques », en marge de la gestion automatisée du parc et des masters de postes
  • Effectuer les mises à jour des logiciels de sécurité (antivirus, passerelles, mails, etc..)
  • Informer les utilisateurs du risque d’ouverture de certaines pièces jointes dont l’expéditeur n’est pas formellement identifié et connu
  • Effectuer des sauvegardes régulières des fichiers

LES SOLUTIONS DE SÉCURITÉ

Il existe des solutions professionnelles permettant de limiter le risque. En voici quelques-unes à titre d’exemple :

  • Une solution de « durcissement » du poste de travail: Une solution telle que Stormshield Endpoint Security permet de contrôler les processus, empêcher les élévations de privilèges, les dépassements de tampons, injections de codes et autres techniques utilisées par les malwares.
  • Une solution de protection logicielle du poste de travail : F-Secure, entre autres, intègre des fonctionnalités de gestion des patchs, détection et blocage des dll utilisés par les ransomwares, ainsi qu’un pare-feu personnel permettant d’éviter ici les mouvements latéraux.
  • Un firewall performant pour empêcher l’attaque de se propager au réseau (Stormshield Network Security)
  • Un antispam efficace pour bloquer les messages malveillants : Vade Secure

Voici une liste d’instructions à suivre si vous utilisez les solutions citées :

Bloquer la menace à l’aide des solutions Stormshield
Bloquer la menace à l’aide des solutions F-Secure

Ransomware : risque d’évolution et autres menaces

Cette nouvelle version de Petya marque une tendance très nette d’évolution, de généralisation et de perfectionnement des ransomwares.

Ainsi, en complément de NotPetya, d’autres vagues de ransomwares dérivés ont été lancées sur les messageries mardi soir dernier.

Vade Secure, éditeur de solutions antispam, a détecté et bloqué plus d’1,2 million d’e-mails dissimulant les ransomwares Jaff, Cerber et Hancitor qui, s’ils sont moins connus et moins propagés, n’en annoncent pas moins une tendance qui n’est pas prête de s’inverser…

Sources :

[1] http://www.lemondeinformatique.fr/actualites/lire-un-chercheur-active-un kill-switch ralentissant-la-diffusion-de-wannacry-68206.html [2] https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ [3] https://blog.vadesecure.com/fr/analyse-de-vague-dattaque-petrwarp-nopetya-goldeneye/ [4] https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday [5] https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/ [6] https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b [7] https://www.theregister.co.uk/AMP/2017/06/28/petyanotpetyaransomware/ [8] https://labsblog.f-secure.com/2017/06/29/petya-i-want-to-believe/

http://www.linformaticien.com/actualites/id/44390/notpetya-comment-se-proteger-et-reagir-en-cas-d-infection.aspx
https://fr.business.f-secure.com/ransomware-petya/
http://news.stormshield.eu/03tfjtzpbcvyxg0p2wq9.htm
https://blog.vadesecure.com/fr/analyse-de-vague-dattaque-petrwarp-nopetya-goldeneye/