Alerte cyberattaque Petya

Protection contre les cybermenaces de type Petya avec une passerelle de sécurité web

 

Edit vendredi 30/06/2017 : Après analyse approfondie, NotPetya est à présent considéré comme un Wiper et non pas un ransomware. La restauration des fichiers après chiffrement est impossible, même si la rançon est payée.

Dernière mise à jour de l'article : jeudi 29/06/2017

petya screenshotPetya, NotPetya, PetrWarp, GoldenEye : autant de noms pour dénoncer une cyberattaque massive qui contamine le monde depuis hier après-midi. Six semaines seulement après WannaCry, un nouveau ransomware vient frapper le monde professionnel.

L’attaque a affecté en premier l’Ukraine où de nombreuses entités ont été affectées : métro, banques, supermarchés… même l’ancienne usine de Tchernobyl n’y échappe pas ! La Russie, le Royaume-Uni, les Etats-Unis et la France étaient les suivants sur la liste de Petya, en paralysant de grands groupes tels que Saint Gobain et la SNCF.

 

De quoi s’agit-il ?

Petya est un malware apparu il y a déjà un an, il a été repéré dès Mars 2016 en Allemagne. Il refait donc apparition. Il s’agit plus précisément d’un malware de type ransomware utilisant de nouveau l’exploit EternalBlue développé par la NSA et qui exploite une vulnérabilité sur le protocole SMB v1 présente dans plusieurs systèmes Microsoft Windows.

Contrairement à la majeure partie des malwares/ransomwares Petya ne possède pas de C&C (Command and Control) qui lui servirait à piloter l’attaque à distance suite à l’infection de la victime. 

Pour plus d’informations :

Petya est assez offensif et se déplace de manière latérale via WMIC. En effet les machines du réseau sont scrutées via NETBIOS afin de savoir si le protocole SMB(445) est ouvert et sujet à la faille. Dans ce cas ces machines elles aussi infectées.

Le malware chiffre le MFT (Master File Table) en simulant une vérification du disque via l’utilitaire Windows « chkdsk ». Cela aura pour effet de rendre illisible le MFT.

Et c’est là une des particularités de Petya (ou Petya-Like) c’est qu’il ne chiffre pas les fichiers ou données comme le font les autres Ransomwares. Parmi les Ransomwares qui avaient cette fonction de chiffrement on peut citer :

  • HDDCryptor
  • Satana

A sa grande habitude, le ransomware vous demandera une rançon afin de pouvoir récupérer vos données.

 

Olfeo et Petya, qu’en disent nos experts ?

Les ransomwares exploitant cette même faille pullulent. Après WannaCry, après Adylkuzz, maintenant c’est au tour de Petya.  Nous resterons sur des noms génériques, les autres étant des déclinaisons.

  • Il est certain qu’il y en aura d’autres. Ils seront toujours de type Zero-Day, donc difficilement identifiable par un antivirus classique
  • Les canaux permettant l’entrée de ces malwares dans votre réseau restent flous même si beaucoup incriminent la messagerie
  • Certains de ces ransomwares sont autonomes et d’autres communiquent avec un Command and Control
  • Certains sont "proxy-aware" et savent s’authentifier et d’autres non

Olfeo fait partie de votre chaîne de sécurité et se doit de vous aider à la renforcer.  Pour les clients Olfeo, nous conseillons donc de positionner un blocage avec outre-passement pour tous utilisateurs vers les IP et noms de domaines non-classés (un fonctionnement en mode "liste blanche").

En effet si un ransomware passe par Olfeo, il interrogera une IP ou un nom de domaine éphémère et sera donc bloqué, protégeant ainsi votre système informatique et vos utilisateurs. 

 

D’un point de vue général voici les actions à mener :

  • Sauvegarder vos données et vérifier la restauration,
  • Limiter l’exposition des services via des ACLS FW. Nous vous conseillons de bloquer ou de limiter les accès aux ports NETBIOS et SMB précités,
  • Vérifier dans vos configurations IPS qu’il n’y a pas d’exception pour les attaques sur ces ports et que la signature existe dans vos bases,
  • Sensibiliser vos utilisateurs par de la communication interne,
  • Activer l’antivirus de vos passerelles (Anti-Spam et Passerelle de sécurité web),
  • Déchiffrer vos flux HTTPs,
  • Appliquer un filtre sur le MBR en passant ce dernier dans le mode “Read-only” afin d’empêcher l’écriture du code malveillant sur ce dernier : voir l’outil développé par Cisco Talos,
  • Administrer et mettre à jour vos systèmes,
  • Renforcer vos antivirus et envisager d’intégrer dans votre chaîne de sécurité une Sandbox 

 

Le mot de la fin et nos suggestions pour vous protéger des ransomwares à l’avenir :

« Wannacry était une première alerte, l’attaque Petya semble s’avérer plus nocive. Nous constatons une succession d’échecs des méthodes de détection traditionnelles des menaces. Il faut changer le paradigme et rentrer dans un mode de Sécurité Positive au sens technique du terme : le fonctionnement en liste blanche. Ainsi, nous proposons de laisser accès uniquement aux contenus réputés sains. Olfeo reconnait aujourd’hui 98 % des sites web visités en France, ce qui permet la mise en place optimale d’une telle mécanique. »
Alexandre Souillé, Président d’Olfeo


environnement de confiance par la sécurite positive

 

Pour en savoir plus sur la sécurité positive et la création d’un environnement de confiance :

 

 
 

 

 

 

 
En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok