NotPetya : un destructeur maquillé en ransomware

Le par  |  27 commentaire(s)
Petya

Au cœur de la nouvelle cyberattaque mondiale qui touche des entreprises, NotPetya (ou ExPetr) n'aurait de ransomware que les apparences.

NotPetya, ExPetr, PetrWrap, Petna, voire Petya (même s'il différent du ransomware Petya apparu en mars 2016), autant de petits noms pour le malware à l'origine de la nouvelle cyberattaque mondiale massive qui touche des entreprises avec des postes Windows.

Pour se répandre, et alors que la source d'infection garde encore une part de mystère à ce stade, NotPetya s'appuie sur des versions modifiées des exploits EternalBlue et EternalRomance (merci la NSA…) pour lesquels des patchs avaient été fournis via MS17-010. L'exploitation d'une faille corrigée dans l'implémentation de SMB explique pourquoi la propagation se cantonne à des réseaux d'entreprises.

Néanmoins, et c'est à souligner, NotPetya a diverses cordes à son arc pour sa propagation, comme le protocole WMI et l'outil PSExec (pour exécuter à distance des processus sur d'autres systèmes sans ouvrir un terminal) après récupération d'identifiants sur une machine. Là-encore, c'est pourquoi les entreprises sont touchées et a priori pas les particuliers.

NotPetya a une devanture de ransomware mais ce ne pourrait être qu'une simple couverture d'après certains experts en sécurité. Kaspersky Lab parle d'un malware conçu en tant que wiper - ou effaceur - et prétendant être un ransomware.

Pas un ransomware...

Cela étaye une théorie qui circule et d'après laquelle il ne s'agit pas d'une attaque par ransomware avec pour objectif un gain financier, mais une campagne d'attaque à visée destructrice. L'Ukraine, d'où est partie l'infection, pourrait avoir été la véritable cible, le reste étant un écran de fumée pour brouiller les pistes. Oui… des experts pensent encore à la Russie.

NotPetya est particulièrement agressif en s'attaquant au Master Boot Record et en chiffrant la Master File Table des partitions sur les disques des ordinateurs. La MFT contient les informations sur les fichiers et leur répartition. Du déjà-vu avec Petya de 2016, sauf que ce dernier rendait l'opération réversible, ce qui n'est pas le cas avec NotPetya.

Pour Matt Suiche de Comae Technologies, les dommages causés au disque sont " permanents et irréversibles. " Du reste, le terme d'effaceur est alors impropre puisqu'il n'y a pas véritablement d'effacement de données. La conclusion est en tout cas partagée par Kaspersky Lab.

L'éditeur russe explique que pour déchiffrer le disque d'une victime, les attaquants ont besoin d'un identifiant d'infection de la machine contenant des informations dites cruciales pour la récupération des clés. Après l'envoi de ces informations à l'attaquant, il est possible d'extraire la clé de déchiffrement en utilisant la clé privée.

Pour ExPetr, " l'identifiant affiché dans l'écran de rançon est simplement une donnée aléatoire en clair. Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne de caractères générée de manière aléatoire et ainsi affichée. […] Les victimes ne pourront déchiffrer aucun des disques chiffrés en utilisant l'identifiant. '

expetr-wiper

NotPetya ne serait alors pas un ransomware mais une cyberarme.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1970886
Cette violence
Le #1970890
l'identifiant affiché me fait penser a l'identifiant windows lors de l'installation
Le #1970892
Le pire c'est que c'est pas près de s'arrêter.

MS et la NSA ont collaboré longtemps (et collaborent toujours). La liste des failles windows non patchées et connues/communiquées à la NSA (les fameuses backdoors décrites par Snowden), dérobées il y a peu, vont causer encore pas mal de dégâts.

Tous les mois, son nouveau ransomware ou destructware

Ca devrait faire réfléchir certains décideurs sur notre dangereuse dépendance à MS, enfin espérons qu'au moins notre armée en fasse partie.
Le #1970893
Sont cons, ces russes, ils s'auto-cyber-attaquent...
Le #1970922
Article intéressant, mais "comme le protocole WMI et l'outil PSExec (alternative à Telnet)", PSExec une alternative à telnet ?

PSExec permet principalement d'exécuter des programmes/scripts etc à distance sans ouvrir un terminal, ce qu'est telnet qui lui, ressemble plutôt à PuTTY.
Le #1970983
Je viens de virer le SMB de tout mes PC, protocole inutile et dangereux.
Le #1971076
Bon pour éviter tout débat sur le Ransomware, je propose qu'on installe Linux (Distro au choix) sur tous les PC.
Le #1971081
iFlo59 a écrit :

Bon pour éviter tout débat sur le Ransomware, je propose qu'on installe Linux (Distro au choix) sur tous les PC.


Cool, on aura des ransomware linux
Voilà qui change tout.
Le #1971092
Pas pire. J'avais prédit qu'on accuserait les Russes d'avoir lancé cette attaque pour couvrir le fait que sont eux qui avait lancé l'attaque.
Le #1971109
Safirion a écrit :

iFlo59 a écrit :

Bon pour éviter tout débat sur le Ransomware, je propose qu'on installe Linux (Distro au choix) sur tous les PC.


Cool, on aura des ransomware linux
Voilà qui change tout.


Il y a des failles dans Linux (vite patchées mais il y en a et il y en aura toujours).
Par contre, si tu t'intéresses à la naissance de wannacry, tu vas t'apercevoir que c'est à cause de la collaboration MS/NSA puis au vol (?) de ces failles à la NSA.

C'était donc prévisible (ça fait des années que des gens l'expliquent sur tous les forums d'info en se faisant traiter de parano complotiste). C'est même un miracle que ça arrive si tard (par contre on se donne RDV dans un mois pour une nouvelle vérole)

Donc petite question: la NSA dispose t-elle des même outils sous Linux ?

Si oui, pourquoi le mec (E.S) qui était responsable de cette collaboration NSA/GAFAM pour surveiller massivement les utilisateurs et qui a sorti 15 000 documents expliquant le fonctionnement de la collecte, n'a pas sorti le moindre document impliquant Linux ?
Il a fait un tri pour préserver cet OS ou bien c'était juste plus facile de coller des backdoors dans un OS propriétaire que dans un OS où chaque petit fichier de diff est lu par un nombre aléatoires de personnes aléatoires ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]