Petya, une nouvelle cyberattaque massive

Petya : au cœur du raz de marée de cyberattaques

Une nouvelle déferlante de cyberattaques venant d’Ukraine et de la Russie s’est propagée en Europe et aux Etats-Unis.

Cette vague touchant le géant pétrolier russe Rosneft,  Saint Gobain, Auchan, la SNCF pour l’hexagone jusqu’au groupe de communication anglais WPP.

WannaCry

En mai, WannaCry nous a fait prendre conscience de la force de frappe d’une cyberattaque et mis en lumière les failles des entreprises.

Pour autant, celles-ci ont-elles pris toutes les mesures nécessaires pour patcher les systèmes, renforcer leur sécurité, les protections et veiller aux comportements des utilisateurs ?

Ransomware

Petya exploite une même vulnérabilité que WannaCry pour se propager sur les réseaux internes, pourquoi celle-ci n’a pas été identifiée et corrigée sur les systèmes internes ?

Ce ransomware utilise l’exploit Eternal Blue pour se propager dans le réseau via PsExec. Ce dernier crypte les fichiers des ordinateurs et demande une rançon de 300$ pour pouvoir récupérer ces données.

Un autre vecteur de propagation

Toutefois, Petwrap utilise, aussi, un autre vecteur de propagation, Jérôme Saiz, expert du Cercle des Assises de la Sécurité commente  « il exploite notamment WMIC (Windows Management Instrumentation Commandline) »

« Petwrap récupére des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à PsExec ».

« Cela pourrait expliquer une grande partie des nouvelles infections ». 

Un code malveillant peut obtenir facilement les droits nécessaires à ce type d’action sensible.

Les hackers apprennent constamment de leurs succès de leurs échecs, et travaillent à améliorer leurs outils, en s’inspirant du travail d’autres membres.

Destruction de données ou gains financiers ?

Et si l’objectif était  au final la destruction des données et non les gains financiers, c’est ce qu’explique Bogdan Botezatu, Spécialiste Sécurité chez Bitdefender « l’attaque a commencé en Ukraine.

Elle s’est appuyée sur un fournisseur de services de messagerie électronique classique et faillible comme canal de communication.

C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers.

Le manque d’automatisation dans le processus de paiement et de récupération de clé est évoqué.

Et de poursuivre sur la mauvaise configuration du service de confirmation de paiement.

« les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d’automatisation qui rend le processus de paiement facile et sécurisé.

Les étapes de remédiation

Les entreprises doivent être sûres qu’au cours des heures premières heures critiques, elles ne causent pas de dégâts encore plus importants.

Les rssi doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique.

Top 5 des étapes de remédiation :

– 1 : l’isolation : Les points de terminaison infectés doivent être isolés le plus vite possible  (retirer le câble d’alimentation)

– 2 : la collecte d’informations

Comment cela fonctionne-t-il ? Comment gérer l’incident ? Collecter de l’information sur un maximum de plateformes d’échanges d’informations : Twitter, blogs …

– 3 : la segmentation du réseau

filtrer le protocole infecté à partir du trafic réseau et évaluer les risques

– 4 : la mise en place de contre-mesures

indicateurs de compromission, mise à jour des IDS et règles de pare-feu, systèmes anti-virus.

– 5 : la vigilance maximale

sur les événements suivants : une future variante ? tous les systèmes ont-ils été patchés ? …