+1 (800) 440 1904

Blog de DriveSavers

Petya/ExPetr était un tueur de données, pas un rançongiciel

Par Michael Hall, responsable de la sécurité de l'information

L'attaque de logiciels malveillants qui a débuté en Europe de l'Est à la fin du mois de juin et s'est rapidement propagée dans le monde entier ne semble pas être une attaque de rançongiciel, mais une tentative de destruction de données, selon une société de sécurité qui a examiné le code du programme.

Au début, il semblait que l'attaque détectée le 27 juin était similaire au virus ransomware Petya apparu en 2016. Avec ce logiciel, les clients infectés devaient payer une rançon aux pirates pour débloquer leurs fichiers cryptés.

Il semble maintenant que le nouveau logiciel, baptisé Petya/ExPetr, ne contienne aucune information de décryptage, ce qui amène les chercheurs de Kaspersky Labs à conclure que la principale raison de l'attaque était d'effacer ou de détruire le contenu de l'ordinateur, et non de collecter une rançon.

"Après une analyse de la routine de cryptage du logiciel malveillant utilisé dans l'affaire du Attaques Petya/ExPetrnous avons pensé que l'acteur de la menace ne peut pas décrypter les disques des victimes, même si un paiement a été effectué", a déclaré Kaspersky Labs dans un communiqué de presse. article de blog.

"Cela confirme la théorie selon laquelle cette campagne de logiciels malveillants n'a pas été conçue comme une attaque de ransomware à des fins financières. Il semble plutôt qu'elle ait été conçue comme une essuie-glace se faisant passer pour un ransomware".

L'entreprise de sécurité a qualifié cette situation de "pire cas" pour les victimes, car même si elles paient la rançon, elles ne récupéreront pas leurs données. Le blog de Kaspersky ajoute que "cela renforce la théorie selon laquelle l'objectif principal de l'attaque ExPetr n'était pas d'ordre financier, mais destructif".

Matt Suiche, chercheur auprès d'une autre société de sécurité, Comae Technologies, est parvenu à la même conclusion générale. "Cette version de Petya efface les premiers secteurs du disque, comme nous l'avons vu avec des malwares tels que Shamoon", écrit Suiche. "Nous pensons que le ransomware était en fait un leurre pour contrôler le récit des médias, en particulier après les incidents de WannaCry, afin d'attirer l'attention sur un mystérieux groupe de pirates informatiques plutôt que sur un attaquant national comme nous l'avons vu par le passé dans des cas impliquant des wipers tels que Shamoon."

Comme le récent logiciel malveillant WannaCry, Petya/ExPetr a utilisé la technologie EternalBlue Windows, créé par l'Agence nationale de sécurité des États-Unis (NSA), puis volé à celle-ci, pour pénétrer dans les ordinateurs qui n'avaient pas encore été mis à jour avec le correctif Windows ciblé. Contrairement à WannaCry, Petya/ExPetr chiffrait des disques durs entiers plutôt que des fichiers individuels. En outre, ce logiciel malveillant a été programmé avec des capacités de ver avancées. Cela lui a permis de se propager rapidement aux ordinateurs en réseau une fois qu'un ordinateur non corrigé a été infecté, y compris ceux qui avaient déjà été corrigés avec succès avec les mises à jour de sécurité de Windows.

Les trois quarts des victimes de Petya/ExPetr se trouvaient en Ukraine, où l'attaque a été lancée. Les cibles étaient notamment la banque centrale ukrainienne, le principal aéroport international et l'installation nucléaire de Tchernobyl. De là, l'attaque s'est propagée à soixante-cinq pays dans le monde, y compris à des entreprises américaines telles que le cabinet d'avocats multinational DLA Piper, le prestataire de soins de santé de Pennsylvanie Heritage Valley Health Systems et le laboratoire pharmaceutique Merck.

Prévention de Petya

Il existe un moyen simple de protéger votre organisation contre une attaque de logiciels malveillants comme Petya/ExPetr et d'autres : Appliquer immédiatement les correctifs de sécurité.

Toutes les organisations devraient disposer d'une liste claire et actualisée de tous les appareils de l'entreprise et des appareils connectés aux ordinateurs de l'entreprise, tels que les appareils personnels des employés qui se connectent par l'intermédiaire de services tels que les VPN. Lorsque des correctifs de sécurité sont disponibles, le service informatique de l'entreprise doit vérifier chaque appareil de la liste afin de s'assurer que tous les points d'entrée possibles sont protégés.

Outre les mises à jour de sécurité, de systèmes d'exploitation et de programmes, il est important d'utiliser et d'entretenir des logiciels antivirus et anti-malware. Veillez également à installer les mises à jour de ces programmes dès qu'elles sont disponibles.

Articles connexes :

Les ransomwares prennent un nouveau tournant - en quoi WannaCry était différent

Conseils pour la récupération de WannaCry

Récupération de données sur les ransomwares

Prévisions concernant la cybercriminalité : Hausse en 2017

6 façons de se protéger des pirates informatiques

Articles connexes

Haut de page
Rechercher