Site icon Sophos News

Ransomware Petya : comment se propage-t-il et comment s’en protéger ?

ransomware petya

Les clients de Sophos peuvent suivre les mises à jour techniques dans ce Knowledge Base Article, qui inclue une liste des variantes que nous détectons et bloquons.

Depuis la cyberattaque d’hier menée par le ransomware Petya, les internautes se sont posés de nombreuses questions sur la façon dont il se répandait, et s’il représentait ou non une suite à l’épidémie WannaCry du mois dernier.

Les experts Sophos ont trouvé des similitudes dans la manière dont les deux se répandaient, ainsi que certaines différences clés. Ils ont également reconstitué l’infection et la séquence de chiffrement, et ainsi protégés les clients Sophos en conséquence.

Les différences et similitudes avec WannaCry

Les chercheurs n’ont trouvé aucun mécanisme de diffusion sur internet, mais comme WannaCry, il utilise les exploits EternalBlue/EternalRomance qui ciblent les installations SMB vulnérables afin de se propager.

Cependant cette propagation ne se fait qu’au niveau des réseaux internes. Voici le shellcode de l’exploit SMB pour Petya, en comparaison avec celui pour WannaCry :

 

Exploitation des outils en ligne de commande

Dans les cas où l’exploit SMB échoue, le ransomware Petya essaie de se diffuser en utilisant PsExec au niveau des comptes utilisateurs locaux (PsExec est un outil en ligne de commande qui permet aux utilisateurs d’exécuter des processus sur des systèmes distants).

Il exécute également un outil modifié mimikatz LSAdump qui récupère tous les identifiants utilisateurs disponibles dans la mémoire.  Il tente d’exécuter Windows Management Instrumentation Command-line (WMIC) pour déployer et exécuter le payload au niveau de chaque hôte connu avec les identifiants appropriés. WMIC est une interface de script qui simplifie l’utilisation de Windows Management Instrumentation (WMI) et les systèmes qu’il gère).

En utilisant les techniques de piratage WMIC/PsExec/LSAdump, les cybercriminels peuvent infecter des ordinateurs fraîchement patchés et disponibles sur les réseaux locaux, y compris ceux sous Windows 10.

La phase d’attaque

Une fois que l’infection diminue d’intensité, la phase de chiffrement commence. Le ransomware Petya chiffre vos fichiers de données et écrase le secteur de démarrage de votre disque dur de sorte que la prochaine fois que vous redémarrez, le master index de votre lecteur C: sera également chiffré. Pour couronner le tout, et probablement en tenant compte du fait que la plupart des utilisateurs ne redémarrent que très rarement de nos jours, le ransomware Petya force automatiquement un redémarrage après environ une heure, activant ainsi le processus de chiffrement secondaire.

La victime sait qu’il y a un problème parce qu’un message ne provenance du ransomware Petya s’affiche à l’écran :

Voici un aperçu plus détaillé du message envoyé par le ransomware :

La douleur pour la victime est aggravée parce que l’adresse email mentionnée pour le paiement de rançon a été fermée. Donc, si la décision est prise de payer la rançon, il n’y a aucun moyen de confirmer de manière fiable que le paiement a bien été transmis et qu’une clé de déchiffrement va effectivement arriver.

Existe-t-il un kill switch ?

L’une des questions les plus posées dans le secteur de la cybersécurité est de savoir s’il existe un kill switch pour interrompre l’infection. La réponse est oui, mais seulement localement, comme indiqué ci-dessous :

La protection offerte par Sophos

Les clients qui utilisent Sophos Endpoint Protection sont protégés contre toutes les variantes récentes du ransomware Petya. Nous avons fourni une première protection dès le 27 juin à 13h50 UTC et nous avons depuis mis à disposition plusieurs mises à jour pour protéger davantage contre d’éventuelles futures variantes.

En outre, les clients utilisant Sophos Intercept X ont été protégés de façon proactive sans qu’aucune donnée ne soit chiffrée, et ce dès l’apparition de cette nouvelle variante du ransomware Petya.

De plus, les clients peuvent choisir de restreindre l’utilisation de PsExec et d’autres outils administrateurs à double usage sur leur réseau. Sophos Endpoint Protection fournit une détection PUA pour psexec et d’autres programmes d’administration à distance qui ne nécessitent pas d’être disponibles sur tous les PC et au niveau de tous les utilisateurs.

Nous avons créé une vidéo pour montrer comment Intercept X fonctionne contre le ransomware Petya.

 Les mesures défensives

Bien que les clients de Sophos soient protégés, il existe plusieurs choses que les utilisateurs peuvent faire pour renforcer leurs défenses. Par exemple :

En parallèle, et pour avoir une meilleure compréhension de ce type de menaces n’hésitez pas à consulter les sources et documents suivants :


Billet inspiré de Deconstructing Petya: how it spreads and how to fight back, sur Sophos nakedsecurity.

Exit mobile version