> Securite > Petya, une nouvelle cyberattaque massive

Petya, une nouvelle cyberattaque massive

Securite - Par Sabine Terrey - Publié le 28 juin 2017

Ce rançongiciel a frappé des entreprises dans le monde entier, notamment en France, la SNCF, Saint Gobain, ou encore Auchan… Petya exploite, entre autres, la même vulnérabilité que WannaCry pour se propager sur les réseaux internes. Face à cette deuxième cyberattaque, beaucoup de questions se posent…

Petya, une nouvelle cyberattaque massive

Un raz de marée de cyberattaques

Une nouvelle déferlante de cyberattaques venant d’Ukraine et de la Russie s’est propagée en Europe et aux Etats-Unis touchant le géant pétrolier russe Rosneft,  Saint Gobain, Auchan, la SNCF pour l’hexagone jusqu’au groupe de communication anglais WPP, et bien d’autres …

En mai, WannaCry nous a fait prendre conscience de la force de frappe d’une cyberattaque et mis en lumière les failles des entreprises.

Pour autant, celles-ci ont-elles pris toutes les mesures nécessaires pour patcher les systèmes, renforcer leur sécurité, les protections et veiller aux comportements des utilisateurs ?

Si Petya exploite une même vulnérabilité que WannaCry pour se propager sur les réseaux internes, pourquoi celle-ci n'a pas été identifiée et corrigée sur les systèmes internes vulnérables après l’attaque mondiale en mai ? Ce ransomware utilise l’exploit Eternal Blue pour se propager dans le réseau via PsExec. Ce dernier crypte les fichiers des ordinateurs et demande une rançon de 300$ pour pouvoir récupérer ces données.

 

Un autre vecteur de propagation

Toutefois, Petwrap utilise, aussi, un autre vecteur de propagation, Jérôme Saiz, expert du Cercle des Assises de la Sécurité commente  « il exploite notamment WMIC (Windows Management Instrumentation Commandline) en récupérant des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à l'outil de gestion à distance PsExec. Cela pourrait expliquer une grande partie des nouvelles infections ». 

Dans ce cas,  « comment un code malveillant peut-il obtenir aussi facilement les droits nécessaires à ce type d'action hautement sensible, sur un poste de travail censé être contrôlé ? » et d’insister sur les leçons à tirer « Les hackers apprennent constamment de leurs succès comme de leurs échecs, et travaillent sans cesse à améliorer leurs outils, en s'inspirant du travail d'autres membres de leur communauté ».

 

Destruction de données ou gains financiers ?

Et si l’objectif était  au final la destruction des données et non les gains financiers, c’est ce qu’explique Bogdan Botezatu, Spécialiste Sécurité chez Bitdefender « l'attaque a commencé en Ukraine, en utilisant un fournisseur de services de messagerie électronique classique et faillible comme canal de communication. C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers. Mais cela a ravagé les entreprises à travers le monde ». 

Le manque d’automatisation dans le processus de paiement et de récupération de clé est évoqué. Et de poursuivre sur la mauvaise configuration du service de confirmation de paiement « les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d'automatisation qui rend le processus de paiement facile et sécurisé, presque au niveau de celui des banques en ligne ».

 

Les étapes de remédiation

Un point essentiel : la gestion d’incident «  Les entreprises doivent être sûres qu’au cours des heures premières heures critiques, elles ne causent pas de dégâts encore plus importants. Les professionnels de sécurité doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique » commente Csaba Krasznay, Security Evangelist chez Balabit, estimant nécessaire de revenir sur les 5 étapes  dès lors que vous êtes une victime …

 

- 1 : l’isolation : Les points de terminaison infectés doivent être isolés le plus vite possible  (retirer le câble d'alimentation)

- 2 : la collecte d’informations : qu’est-ce que c’est ? Comment cela fonctionne-t-il ? Comment gérer l’incident ? Collecter de l’information sur un maximum de plateformes d’échanges d’informations : Twitter, blogs …

- 3 : la segmentation du réseau : filtrer le protocole infecté à partir du trafic réseau et évaluer les risques 

- 4 : la mise en place de contre-mesures : indicateurs de compromission, mise à jour des IDS et  règles de pare-feu, systèmes anti-virus, serveurs et clients

- 5 : la vigilance maximale sur les événements suivants : une future variante ? tous les systèmes ont-ils été patchés ? …

 

 

Téléchargez gratuitement cette ressource

Guide Machine learning et Big Data pour bien démarrer

Guide Machine learning et Big Data pour bien démarrer

Les technologies de Machine Learning, Big Data et intelligence artificielle ne sont pas réservées aux géants du Web. Cependant, il est souvent difficile de savoir ce qu'elles peuvent nous apporter. Découvrez, dans ce guide, les différents types d'apprentissages et passez à l'action grâce aux outils open source disponibles dans la « Intel Python Distribution ».

Securite - Par Sabine Terrey - Publié le 28 juin 2017