Advertisement
Loading

Petya, une nouvelle cyberattaque massive

Par Sabine Terrey | 28/06/2017
Sécurité, Stratégie, Malware, Virus, Cyberguerre

Ce rançongiciel a frappé des entreprises dans le monde entier, notamment en France, la SNCF, Saint Gobain, ou encore Auchan… Petya exploite, entre autres, la même vulnérabilité que WannaCry pour se propager sur les réseaux internes. Face à cette deuxième cyberattaque, beaucoup de questions se posent…

Petya, une  nouvelle cyberattaque massive

Un raz de marée de cyberattaques

Une nouvelle déferlante de cyberattaques venant d’Ukraine et de la Russie s’est propagée en Europe et aux Etats-Unis touchant le géant pétrolier russe Rosneft,  Saint Gobain, Auchan, la SNCF pour l’hexagone jusqu’au groupe de communication anglais WPP, et bien d’autres …

En mai, WannaCry nous a fait prendre conscience de la force de frappe d’une cyberattaque et mis en lumière les failles des entreprises.

Pour autant, celles-ci ont-elles pris toutes les mesures nécessaires pour patcher les systèmes, renforcer leur sécurité, les protections et veiller aux comportements des utilisateurs ?

Si Petya exploite une même vulnérabilité que WannaCry pour se propager sur les réseaux internes, pourquoi celle-ci n'a pas été identifiée et corrigée sur les systèmes internes vulnérables après l’attaque mondiale en mai ? Ce ransomware utilise l’exploit Eternal Blue pour se propager dans le réseau via PsExec. Ce dernier crypte les fichiers des ordinateurs et demande une rançon de 300$ pour pouvoir récupérer ces données.

 

Un autre vecteur de propagation

Toutefois, Petwrap utilise, aussi, un autre vecteur de propagation, Jérôme Saiz, expert du Cercle des Assises de la Sécurité commente  « il exploite notamment WMIC (Windows Management Instrumentation Commandline) en récupérant des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à l'outil de gestion à distance PsExec. Cela pourrait expliquer une grande partie des nouvelles infections ». 

Dans ce cas,  « comment un code malveillant peut-il obtenir aussi facilement les droits nécessaires à ce type d'action hautement sensible, sur un poste de travail censé être contrôlé ? » et d’insister sur les leçons à tirer « Les hackers apprennent constamment de leurs succès comme de leurs échecs, et travaillent sans cesse à améliorer leurs outils, en s'inspirant du travail d'autres membres de leur communauté ».

 

Destruction de données ou gains financiers ?

Et si l’objectif était  au final la destruction des données et non les gains financiers, c’est ce qu’explique Bogdan Botezatu, Spécialiste Sécurité chez Bitdefender « l'attaque a commencé en Ukraine, en utilisant un fournisseur de services de messagerie électronique classique et faillible comme canal de communication. C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers. Mais cela a ravagé les entreprises à travers le monde ». 

Le manque d’automatisation dans le processus de paiement et de récupération de clé est évoqué. Et de poursuivre sur la mauvaise configuration du service de confirmation de paiement « les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d'automatisation qui rend le processus de paiement facile et sécurisé, presque au niveau de celui des banques en ligne ».

 

Les étapes de remédiation

Un point essentiel : la gestion d’incident «  Les entreprises doivent être sûres qu’au cours des heures premières heures critiques, elles ne causent pas de dégâts encore plus importants. Les professionnels de sécurité doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique » commente Csaba Krasznay, Security Evangelist chez Balabit, estimant nécessaire de revenir sur les 5 étapes  dès lors que vous êtes une victime …

 

- 1 : l’isolation : Les points de terminaison infectés doivent être isolés le plus vite possible  (retirer le câble d'alimentation)

- 2 : la collecte d’informations : qu’est-ce que c’est ? Comment cela fonctionne-t-il ? Comment gérer l’incident ? Collecter de l’information sur un maximum de plateformes d’échanges d’informations : Twitter, blogs …

- 3 : la segmentation du réseau : filtrer le protocole infecté à partir du trafic réseau et évaluer les risques 

- 4 : la mise en place de contre-mesures : indicateurs de compromission, mise à jour des IDS et  règles de pare-feu, systèmes anti-virus, serveurs et clients

- 5 : la vigilance maximale sur les événements suivants : une future variante ? tous les systèmes ont-ils été patchés ? …

 

 

Sabine Terrey Sabine Terrey - Directrice de la Rédaction - IT Pro
Sabine Terrey dirige la rédaction de ITPro.fr avec un double objectif : s’entourer d’experts reconnus, de journalistes informatiques référents, de contributeurs passionnés…
 
Enjeux de l’authentification forte pour la sécurité du SI ?Enjeux de l’authentification forte pour la sécurité du SI ?La mobilité, la consumérisation et le BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications et aux données quelles que soient les situations de mobilité des collaborateurs.Découvrez le livre blanc

Ressources Informatiques

Comment répondre aux défis de la compromission d’identité ? La mobilité, la consumérisation et le BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès…
   RSA | 4 pages
Découvrez le livre blanc
Les enjeux de l’authentification forte pour la sécurité du SI La mobilité, la consumérisation et le BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès…
   RSA | 2 pages
Découvrez le livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
BYOD : Guide des meilleures pratiques en entreprise Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé les interactions entre les collaborateurs. Encore faut-il que l’entre¬prise…
   HPE Aruba | 4 pages
Découvrez votre Guide de Stratégie Mobile
Optimiser la consommation énergétique du data center La gestion et la supervision des infrastructures IT n’ira qu’en s’aggravant tant que les entreprises n’adopteront pas une vraie gestion dynamique…
   Top 5 Décideur IT | 4 pages
Découvrez votre livre blanc
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Arnaud Lorgeron Arnaud Lorgeron Sécurity PMO pour la Banque Privée

David Pekmez David Pekmez MVP Exchange Server

Jean-François Apréa Jean-François Apréa Consultant Infrastructures

Vidéos Informatiques

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI