petyawrap
Produits et Services PRODUITS & SERVICES

PetyaWrap : toutes les questions que vous n’avez jamais osé poser sur le ransomware Petya !

Le nouveau ransomware Petya a fait l'actualité récemment, et comme toujours après une telle cyberattaque, de nombreuses questions émergent, et bien souvent nous n'osons pas les poser, nous restons avec nos interrogations. Cet article propose justement de répondre aux questions que vous avez peur de poser !

A chaque fois qu’un nouveau malware fait l’actualité, beaucoup de questions émergent …

… mais certaines d’entre elles sont difficiles à poser !

Et si la question semblait si évidente que vous vous sentiez gêné de ne pas connaître la réponse ?

Et si quelque chose vous posait vraiment un problème, mais que la question se révélait être trop banale ?

Et s’il existait des détails intéressants, voire même importants à connaitre, mais auxquels vous n’aviez jamais pensé ?

C’est parti !

Quelle est cette nouvelle cyberattaque par le ransomware Petya ? 

Le 27 Juin 2017, un nouveau type de ransomware a été signalé au sein de nombreuses entreprises différentes, au sein de nombreux pays.

Ce malware a été invariablement, et parfois de manière confuse, appelé Petya, GoldenEye, WannaCry2, NotPetya, PetrWrap et PetyaWrap.

Sophos détecte le fichier principal de ce malware sous le nom Troj/Ransom-EOB, mais dans cet article, nous l’appellerons communément PetyaWrap, car beaucoup plus simple.

Pourquoi le nom PetyaWrap ?

Le cœur de ce nouveau ransomware est presque identique à une autre souche de ransomware existante et datant de 2016, connue sous le nom de Petya.

Contrairement à la plupart des ransomwares, qui chiffre vos fichiers de données, mais vous laisse tout de même encore démarrer votre ordinateur sous Windows et utiliser vos applications habituelles, Petya chiffre votre disque au niveau des secteurs, de sorte qu’il ne démarrera plus normalement.

Mais la variante PetyaWrap fait beaucoup plus que le ransomware Petya original.

PetyaWrap comprend un certain nombre d’autres concepts et composants récupérés au niveau d’autres souches de malwares, y compris GoldenEye et WannaCry, qui sont arrangés en une nouvelle variante de ransomwares qui surpasse la souche originelle de Petya.

Ainsi, l’appellation PetyaWrap dans cet article, devient plus claire !

Quelle est la combinaison des techniques malveillantes que PetyaWrap utilise ?

Comme WannaCry, PetyaWrap est un worm informatique, signifiant qu’il peut se propager seul.

PetyaWrap peut se dupliquer seul au niveau de votre réseau, puis ensuite lancer automatiquement ces nouvelles copies, sans attendre que les utilisateurs lisent leurs emails, ouvrent des pièces jointes ou téléchargent des fichiers via des liens internet.

Tout comme le ransomware GoldenEye, PetyaWrap chiffre vos fichiers de données de telle sorte que seuls les cybercriminels connaissent la clé de déchiffrement, ainsi vous ne pouvez pas déchiffrer vos fichiers sans leur aide.

Et comme si cela ne suffisait pas, après s’être propagé et avoir chiffré vos données, PetyaWrap fait la même chose que le malware Petya original, il chiffre votre disque au niveau des secteurs, afin de vous empêcher d’accéder à votre lecteur C:, même si vous le branchez sur un autre ordinateur.

Comment PetyaWrap se propage sur mon réseau ?

Tout d’abord, il s’inspire de WannaCry en essayant d’exploiter certaines failles de sécurité critiques de Windows, qui ont été dérobées auprès de la National Security Agency américaine (NSA) et divulguées par une équipe de pirates appelé Shadow Brokers (la principale vulnérabilité utilisée est communément désignée par le nom original donné par la NSA : ETERNALBLUE).

Si vous êtes patché contre WannaCry, Microsoft a en effet publié des correctifs qui permettaient d’empêcher cette attaque bien avant que WannaCry n’apparaisse, alors vous êtes protégé vis à vis de cette partie, en particulier, au sein de PetyaWrap.

Deuxièmement, il essaie de se diffuser à l’aide d’un outil populaire d’exécution à distance sous Windows appelé PsExec, PetyaWrap contient une copie du logiciel PsExec intégré, ainsi il n’a pas besoin de le télécharger au préalable.

PsExec fait partie de la suite Sysinternals de Microsoft, généralement utilisée de manière abusive par les cybercriminels comme un moyen pratique de se déplacer à l’intérieur d’un réseau après y être entré depuis l’extérieur.

Notez que l’astuce PsExec ne fonctionnera pas si l’ordinateur infecté n’a pas suffisamment de privilèges au niveau du compte pour exécuter des commandes ciblant la victime qu’il est en train d’attaquer, ce qui est une bonne raison pour ne pas utiliser les comptes administrateur en permanence, et peu importe le côté pratique pour les équipes cybersécurité.

Troisièmement, PetyaWrap scrute la mémoire à la recherche de mots de passe qui boosteront ses privilèges d’accès, et lui donneront un accès administratif à d’autres ordinateurs sur le réseau.

Cette chasse aux mots de passe se fait à l’aide d’une copie modifiée d’un outil de récupération de mots de passe appelé LSADUMP, en provenance du toolit Mimikatz. Comme pour PsExec, cet outil de piratage est intégré dans PetyaWrap, donc il n’a pas besoin d’être téléchargé au préalable.

L’installation du patch contre WannaCry est-elle suffisante pour se protéger ?

Non.

Comme expliqué ci-dessus, PetyaWrap utilise trois techniques de propagation, dont la technique de WannaCry est la première qu’il essaie.

Si la faille WannaCry est réparée, PetyaWrap essaie PsExec. Si cela ne fonctionne pas, il tente alors LSADUMP et l’interface de gestion Windows afin de “gérer” votre réseau, à vos dépens bien entendu !

Considérez que les patchs WannaCry sont nécessaires, mais pas suffisants.

Les produits Sophos peuvent-ils bloquer les composants utilisés par PetyaWrap ?  

Oui.

Le programme PetyaWrap principal, qui contient le code “worming” de type WannaCry, est bloqué en tant que malware : Troj/Ransom-EOB.

Le programme PsExec concernant la deuxième technique de propagation est bloqué en tant que PUA (Potentially Unwanted Application) : PsExec de type Hacktool.

L’outil de récupération LSADUMP pour la troisième technique de diffusion est bloqué en tant que malware : Troj/Mimikatz-A.

Est-ce que les produits Sophos peuvent bloquer les composants du ransomware s’ils tentent de chiffrer vos fichiers et votre disque ?

Oui.

Sophos Intercept X (et Sophos Home Premium Beta) intègrent des outils proactifs de blocage des malwares qui détectent, bloquent et réparent les activités du ransomware en question.

La partie “chiffrement des fichiers” de PetyaWrap est détectée et bloquée par CryptoGuard.

La partie “chiffrement sectoriel” de PetyaWrap est détectée et bloquée par WipeGuard.

Est-ce que je récupérerais mes données si je paye la rançon ?

Nous en doutons fortement.

En fait, l’adresse électronique que vous êtes censé utiliser pour contacter les cybercriminels a été suspendue, il est donc peu probable que vous puissiez communiquer avec eux et faire affaire, même si vous le souhaitez.

PetyaWrap peut-il se propager sur internet, comme WannaCry ?  

Oui et non.

WannaCry avait deux fonctions pour se diffuser qui fonctionnaient en parallèle : l’une scrutait votre LAN en essayant de se propager localement, l’autre scrutait le web au hasard à la recherche de nouvelles victimes.

PetyaWrap n’essaie pas ouvertement de trouver de nouvelles victimes sur internet, mais s’accroche à votre réseau local, peut-être dans l’espoir de passer plus inaperçu.

Malheureusement, les LANs (abréviations pour Local Area Networks) ne sont plus vraiment “locaux”, incluant souvent des bureaux périphériques et des travailleurs distants, y compris des travailleurs indépendants.

Bien sûr, certains de ces ordinateurs distants peuvent faire partie de plusieurs LANs, signifiant qu’ils peuvent servir de “passerelle” entre deux réseaux, même s’ils appartiennent à des entreprises complètement différentes.

En d’autres termes, PetyaWrap n’est tout de même pas programmé pour se diffuser délibérément sur internet, mais il n’est pas non plus programmé pour éviter de sauter sur le réseau de quelqu’un d’autre s’il existe une interconnexion.

Fait important, PetyaWrap utilise les outils de réseau intégrés dans Windows pour ses signposts indiquant l’endroit où essayer ensuite, ainsi si vous pouvez naviguer vers les serveurs d’une entreprise partenaire à partir de votre ordinateur ou cliquer sur vos ordinateurs personnels à partir de votre lieu de travail …

… alors PetyaWrap peut en faire de même !

Comment la cyberattaque PetyaWrap a démarré ?  

Nous ne pouvons pas le dire avec certitude.

Au début de l’épidémie, les doigts pointaient en direction d’une société de logiciels ukrainienne qui éditait un logiciel de comptabilité fiscale, ce qui suggérait qu’un piratage des serveurs de mises à jour de l’entreprise avait pu donner aux cybercriminels une opportunité pour lancer une première vague d’infections.

Microsoft prétend maintenant avoir la preuve qu’une version piratée du programme auto-update de l’entreprise pourrait être liée à une précédente épidémie PetyaWrap.

PetyaWrap est-il apparu dans des emails d’hameçonnage ?  

Nous n’avons pas encore vu une preuve d’éventuels emails de phishing diffusant ce ransomware.

Mais ne baissez pas votre garde !

Les emails de phishing sont l’un des vecteurs les plus couramment utilisés par les malwares, et en particulier par les ransomwares, pour faire leur première apparition au sein de votre entreprise.

Que devrais-je faire ensuite ?

Les ransomwares comme PetyaWrap peuvent faire beaucoup de dégâts, même si vous le limitez à un compte utilisateur traditionnel, car la plupart des utilisateurs ont le droit de lire, d’écrire et de modifier leurs propres fichiers à volonté.

Mais tout malware, en particulier un worm réseau comme PetyaWrap, est beaucoup plus dangereux s’il peut obtenir à la place des privilèges au niveau administrateur.

Ainsi, même si vous n’avez pas été touchés par l’épidémie PetyaWrap, pourquoi ne pas utiliser cet événement pour comprendre qui, au sein de votre propre réseau, est autorisé à faire quoi, et à quel niveau peut-il le faire ?

Voici quelques actions à entreprendre :

  • Passez en revue tous les comptes administrateur de domaine et locaux, pour vous débarrasser des mots de passe qui peuvent facilement être craqués. Si vous ne testez pas la robustesse de vos propres mots de passe, les cybercriminels le feront pour vous.
  • Vérifiez quels employés ont, ou peuvent acquérir, des privilèges administrateur sur les ordinateurs d’autres utilisateurs ou sur le domaine. Si vous vous rendez compte que vous avez des privilèges dont vous n’avez plus besoin, dites-le au service informatique et demandez qu’ils soient retirés, pour votre propre sécurité ainsi que celle des autres.
  • Ne laissez pas le service informatique ouvrir une session ou exécuter un logiciel avec des privilèges administrateur, sauf en cas de nécessité absolue. Une fois qu’il a terminé une tâche administrative, il devrait revenir à des privilèges utilisateur standards, même si cela est moins pratique.
  • Vérifiez si vous avez des partages de réseau qui sont censés être limités à votre réseau local, mais qui apparaissent sur internet. Si vous ne vérifiez pas votre propre réseau, les cybercriminels le feront à votre place.

Ne considérez jamais que les choix en matière de sécurité que vous avez effectués l’année dernière, ou encore les paramètres que vous avez appliqués le mois dernier, sont toujours d’actualité aujourd’hui.


Billet inspiré de New Petya ransomware: everything you wanted to know (but were afraid to ask), sur Sophos nakedsecurity.