Petya : Le ransomware dévastateur.

Hebrew comptuter code in red.Fin juin, une cyberattaque massive, similaire à WannaCry, frappa tout le globe. Mais le plus gros des dégâts était ciblé en Ukraine.

Les rumeurs parlent d’une contre-attaque russe contre les sanctions imposées par l’Ukraine quelques semaines avant.

À l’époque, plusieurs sites et services en ligne russes ont été interdits par le gouvernement ukrainien, forçant les fournisseurs de services internet à bloquer l’accès à ces sites.

Les rapports récents ont indiqué que l’attaque a comme origine un malware nommé Petya, mais les experts en cybersécurité travaillant chez Kaspersky Lab ont corrigé quelques points :

« Nos trouvailles préliminaires suggèrent que ce n’est pas une variante du ransomware Petya comme il a été publiquement rapporté. Mais un nouveau ransomware, totalement différent, c’est pour cela que nous l’avons nommé NotPetya. »

Selon Kaspersky, à l’heure de l’attaque, près de 2 000 ordinateurs ont été infectés avec ce nouveau genre de ransomware, surnommé maintenant Petya.A, Petwrap et NotPetya.

Plusieurs firmes de cybersécurité se sont alliées pour dire que ce nouveau fléau du net utilise également un outil de hacking nommé EternalBlue.

EternalBlue profite d’une vulnérabilité du protocole SMBv1 ( Server Message Block créé par Microsoft ). L’outil de hacking sophistiqué a, selon les rumeurs, été dérobé de la NSA par des cybercriminels connus sous le nom de Shadow Brokers.

Depuis la diffusion des logiciels de hacking de la NSA par les Shadow Brokers, un nombre significatif de variantes de ransomwares et malwares a vu le jour : Wannacrypt0r, Petya et le dernier monstre, Petya.A.

D’autres variantes ont également utilisé la fraude EternalBlue du nom de DoublePulsar pour miner de la cryptomonnaie en utilisant Adylkuzz.

Des attaques de grande envergure

L’attaque Wannacrypt0r a été l’une des plus grandes que le monde n’ait jamais connues. Des ordinateurs à travers le monde ont souffert d’une baisse de régime à cause du ransomware.

Microsoft a alors sorti une mise à jour qui corrigea la vulnérabilité du système d’exploitation Windows avant l’attaque WannaCry.

Toutefois, beaucoup d’ordinateurs n’ont toujours pas été mis à jour et restent vulnérables. Pour contrer ce genre de problèmes nos antivirus [ANTIVIRUS_1],  [ANTIVIRUS_2] et [ANTIVIRUS_3] apportent un moyen concret pour se protéger contre toutes les sortes de menaces cybernétiques.

Il est également possible que Petya.A infecte les ordinateurs via emails frauduleux. Un porte-parole de chez Microsoft nous a informé que les antivirus Windows et Windows Defender reconnaissent et suppriment le virus Windows32.Petya.A. Le porte-parole rajoute :

« Notre analyse initiale a trouvé que le ransomware utilise de multiple techniques pour se répandre, l’une d’elles était adressée par une mise à jour de sécurité fournit précédemment pour toutes les plateformes de Windows XP à Windows 10. Comme les ransomwares se propagent le plus souvent via les emails, les utilisateurs doivent être plus prudents avant d’ouvrir un fichier de source inconnue. Nous continuons à enquêter et allons prendre les mesures appropriées pour protéger nos consommateurs. »

Ukraine prise comme cible

Lors de cette attaque, l’Ukraine a été la plus touchée. Parmi les plus touchés : La banque centrale d’Ukraine, les départements du gouvernement, un manufacturier du gouvernement aéronautique, l’aéroport Boryspil de Kiev, des stations pétrolières, le système de métro, une compagnie télécom.

La liste entière des firmes impactées par le virus nous démontre clairement de l’intensité de l’attaque que l’Ukraine a subie :

Agences du gouvernement :

  • Le cabinet des ministères d’Ukraine.
  • Le ministère de l’Intérieur d’Ukraine.
  • Le ministère de la Culture.
  • Le ministère de la Finance.
  • La police nationale.
  • La cyber police.
  • L’administration de l’état de Kyiv.
  • Le conseil de la cité de Lviv.
  • Le ministère du gouvernement.

Banques :

  • Oshchadbank.
  • Sberbank.
  • TASKomertsbank.
  • Ukrhazbank.
  • Pivdennyi.
  • OTP Bank.
  • Kredobank.

Compagnie de transport :

  • L’aéroport international de Boryspil.
  • Le métro de Kyiy.
  • Ukrzaliznytsia ( Une grande société ferroviaire ).

Médias :

  • Radio Era-FM.
  • Football.ua.
  • STB.
  • Inter.
  • Pershyi Natsionalnyi.
  • Telekanal 24.
  • Liuks Radio.
  • Maksymum Radio.
  • KP en Ukraine.
  • La chaîne de TV ATR.
  • Korrespondent.net.

Grandes compagnies :

  • Nova Poshta.
  • Kyivenerho.
  • Naftohaz Ukrainy.
  • DTEK.
  • Dniproenerho.
  • Kyivvodokanal.
  • Novus.
  • Epicentr.
  • Arcelor Mittal.
  • Ukrtelekom.
  • Ukrposhta.

Opérateurs téléphoniques :

  • Lifecell.
  • Kyivstar.
  • Vodafone Ukraine.

Pharmacies :

  • Farmak.
  • Centre médical Borys.
  • Feofania.
  • Arterium Corporation.

Stations de gazes :

  • Shell.
  • WOG.
  • Klo.
  • TNKSource.

Angle d’attaque

Bien que similaire à WannaCry, Petya.A est en réalité plus sophistiqué, car, il a étonnement la possibilité de se propager à l’aide de 3 différentes failles de Windows.

D’abord, le virus vérifie s’il peut exploiter le protocole SMB, avant d’utiliser 2 outils administratifs. Ryan Kalember de Proofpoint a commenté :

« Il est doté d’un mécanisme que WannaCry pour se propager tout seul. »

Selon la police ukrainienne, l’attaque semble avoir percé une faille dans le mécanisme de mise à jour logiciel d’un programme comptabilité dont les firmes ont l’obligation de l’utiliser.

C’est pour cette raison que beaucoup de compagnies ukrainiennes privées, du gouvernement et les départements gouvernementaux ont été touchés.

Ainsi, cette cyberattaque semble s’être propagée dans toute l’Ukraine sans compter la faille EternalBlue sur Windows contenue à l’intérieur de Petya.A.

À cause de la forme originale de l’infection, il n’y a aucun doute que la cyberattaque visait directement l’Ukraine. Pour cette unique raison, la Russie est considérée comme le suspect numéro 1 pour le moment.

Toutefois, il est un peu trop tôt pour pointer du doigt les Russes, surtout si on prend en compte que la Corée du Nord et ses hackers sont accusés d’avoir orchestré l’attaque WannaCry.

Dans quel but ?

Malgré le fait de bloquer les ordinateurs et de demander 300$ de bitcoins, cette attaque semble ne pas être réellement motivée par l’argent.

D’habitude, les hackers au ransomware demandent à chaque victime de payer leurs rançons à une adresse de porte-bitcoin différente.

Cela rend la traçabilité de l’attaque quasi impossible. Mais, avec Petya.A, toutes les attaques renvoient à la même adresse.

De plus, le ransomware demande à toutes les victimes de communiquer via une seule adresse mail : [email protected]. Cette adresse mail a été rapidement désactivée par le fournisseur après qu’elle ait été divulguée.

Ce qui nous amène à conclure que le cybercriminel est un amateur et totalement incapable, ou qu’il n’était tout simplement pas intéressé par la rançon.

Le chercheur en sécurité Nicholas Weaver confirme ce pronostic et rajoute : « Petya.A est une attaque délibérée, malveillante, et destructive, ou peut-être est-ce un test déguisé en ransomware. ».

D’autres pays touchés

Bien que l’attaque ait affecté en priorité l’Ukraine, le ransomware s’est propagé internationalement.

Des attaques ont même été senties en Russie, où la compagnie pétrolière Rosneft et la compagnie de métal Evraz ont été touchées. De plus, la base nucléaire de Tchernobyl a dû passer au mode de surveillance manuel à cause du ransomware.

En réalité, des attaques ont été rapportées du monde entier. En Espagne, une compagnie alimentaire nommée Mondelez ( Les biscuits Oreo sont l’une de ses productions ) A été touchée par la cyberattaque.

Au Danemark, la compagnie internationale de livraison Maersk a eu plusieurs ordinateurs terminaux totalement mis hors service, incluant la société russe Damco. En France, la compagnie de construction Saint-Gobain a également été frappée par l’attaque cybernétique.

En Angleterre, la société de marketing WPP a annoncé sur Twitter qu’elle a rencontré des difficultés suite à l’attaque. Aux États-Unis, l’une des plus grandes firmes de droit au monde, DLA Piper, a enregistré plusieurs téléphones et ordinateurs infectés par Petya.A

Et encore, la compagnie allemande Deutsche Post a également été touchée, bien qu’il semblerait que ce soit sa division ukrainienne qui ait la plus soufferte.

Des victimes en Inde ont aussi été infectées. Un communiqué de chez Kaspersky nous informe que l’Ukraine et la Russie étaient ciblées prioritairement, des attaques ont tout de même eu lieu en Pologne, Italie, Royaume-Uni, Allemagne, France, les USA, et bien d’autres pays.

Pour l’instant, le mystère plane sur l’identité du criminel. En partant du principe que le malfaiteur n’est pas un amateur ( Ce qui est probable ), alors il ne reste que quelques possibilités.

Soit, cet acte était réellement un acte de cyberguerre de la Russie, d’un tout autre acteur de l’état, d’une organisation terroriste, ou un hacker solitaire ayant orchestré l’attaque de telle que l’on accuse les Russes. Il ne nous reste plus qu’à attendre et surveiller de près l’avancement de l’enquête.