Ce rançongiciel a frappé des entreprises dans le monde entier, notamment en France, la SNCF, Saint Gobain, ou encore Auchan… Petya exploite, entre autres, la même vulnérabilité que WannaCry pour se propager sur les réseaux internes. Face à cette deuxième cyberattaque, beaucoup de questions se posent…
Petya, une nouvelle cyberattaque massive
Petya : au cœur du raz de marée de cyberattaques
Une nouvelle déferlante de cyberattaques venant d’Ukraine et de la Russie s’est propagée en Europe et aux Etats-Unis.
Cette vague touchant le géant pétrolier russe Rosneft, Saint Gobain, Auchan, la SNCF pour l’hexagone jusqu’au groupe de communication anglais WPP.
WannaCry
En mai, WannaCry nous a fait prendre conscience de la force de frappe d’une cyberattaque et mis en lumière les failles des entreprises.
Pour autant, celles-ci ont-elles pris toutes les mesures nécessaires pour patcher les systèmes, renforcer leur sécurité, les protections et veiller aux comportements des utilisateurs ?
Ransomware
Petya exploite une même vulnérabilité que WannaCry pour se propager sur les réseaux internes, pourquoi celle-ci n’a pas été identifiée et corrigée sur les systèmes internes ?
Ce ransomware utilise l’exploit Eternal Blue pour se propager dans le réseau via PsExec. Ce dernier crypte les fichiers des ordinateurs et demande une rançon de 300$ pour pouvoir récupérer ces données.
Un autre vecteur de propagation
Toutefois, Petwrap utilise, aussi, un autre vecteur de propagation, Jérôme Saiz, expert du Cercle des Assises de la Sécurité commente « il exploite notamment WMIC (Windows Management Instrumentation Commandline) »
« Petwrap récupére des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à PsExec ».
« Cela pourrait expliquer une grande partie des nouvelles infections ».
Un code malveillant peut obtenir facilement les droits nécessaires à ce type d’action sensible.
Les hackers apprennent constamment de leurs succès de leurs échecs, et travaillent à améliorer leurs outils, en s’inspirant du travail d’autres membres.
Destruction de données ou gains financiers ?
Et si l’objectif était au final la destruction des données et non les gains financiers, c’est ce qu’explique Bogdan Botezatu, Spécialiste Sécurité chez Bitdefender « l’attaque a commencé en Ukraine.
Elle s’est appuyée sur un fournisseur de services de messagerie électronique classique et faillible comme canal de communication.
C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers.
Le manque d’automatisation dans le processus de paiement et de récupération de clé est évoqué.
Et de poursuivre sur la mauvaise configuration du service de confirmation de paiement.
« les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d’automatisation qui rend le processus de paiement facile et sécurisé.
Les étapes de remédiation
Les entreprises doivent être sûres qu’au cours des heures premières heures critiques, elles ne causent pas de dégâts encore plus importants.
Les rssi doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique.
Top 5 des étapes de remédiation :
– 1 : l’isolation : Les points de terminaison infectés doivent être isolés le plus vite possible (retirer le câble d’alimentation)
– 2 : la collecte d’informations
Comment cela fonctionne-t-il ? Comment gérer l’incident ? Collecter de l’information sur un maximum de plateformes d’échanges d’informations : Twitter, blogs …
– 3 : la segmentation du réseau
filtrer le protocole infecté à partir du trafic réseau et évaluer les risques
– 4 : la mise en place de contre-mesures
indicateurs de compromission, mise à jour des IDS et règles de pare-feu, systèmes anti-virus.
– 5 : la vigilance maximale
sur les événements suivants : une future variante ? tous les systèmes ont-ils été patchés ? …
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
- Cybersécurité : comment évaluer sa cyber maturité !
- La fraude à l’identité numérique : les gestes qui sauvent
- Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale
- Cybercriminalité : des attaques de plus en plus sophistiquées
- Les 6 recommandations pour les RSSI
Les plus consultés sur iTPro.fr
- Communication d’entreprise : la voix s’impose à nouveau comme canal critique à l’ère de l’IA
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Articles les + lus
La blockchain n’est pas seulement un défi à encadrer : c’est aussi une solution à exploiter
Le futur de la cryptographie post-quantique
Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
À la une de la chaîne Sécurité
- La blockchain n’est pas seulement un défi à encadrer : c’est aussi une solution à exploiter
- Le futur de la cryptographie post-quantique
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
