Selon les experts en sécurité informatique de McAfee, le ransomware baptisé NotPeya est une « très méchante variante qui crypte les fichiers et la zone d’amorce MBR de l'ordinateur, rendant la machine inutilisable ». Alors que l'attaque de WannaCry, il y a quelques semaines, avait incité de nombreux utilisateurs à appliquer les derniers correctifs de Windows pour se protéger, NotPetya s’est doté « d’un nombre de mécanismes de diffusion encore plus importants pour réussir son attaque », a ajouté McAfee. Selon le spécialiste de la sécurité Symantec, NotPetya, une variante de Petya, se propage comme WannaCry en exploitant la vulnérabilité MS15-010 par SMB, également connue sous le nom Eternal Blue.
Comme l’indique Dr Web dans un communiqué, « la propagation massive du ransomware Trojan.Encoder.12544 a commencé dans la première moitié de la journée du 27.06.2017. Lors de son démarrage sur un ordinateur attaqué, le ransomware utilise plusieurs moyens pour trouver des PC accessibles dans le réseau local, puis selon une liste d’adresses IP reçue, commence à scanner les ports 445 et 139. Après avoir détecté dans le réseau les machines sur lesquelles ces ports sont ouverts, Trojan.Encoder.12544 tente de les infecter à l’aide de la vulnérabilité largement connue du protocole SMB (MS17-10) ».
Une méthode d'infection très efficace
Créée par la NSA, l’agence de sécurité nationale américaine, la vulnérabilité Eternal Blue a été rendue publique par le groupe de pirates Shadow Brokers en avril 2017. « Le ransomware NotPetya est à nouveau impliqué dans une attaque mondiale dévastatrice dont les dégâts pourraient dépasser ceux de WannaCry », a déclaré Kobi Ben Naim, directeur senior de la cyber recherche chez CyberArk Labs. « NotPetya se répand en utilisant une méthode d'infection terriblement efficace utilisée par WannaCry. L’attaque s’appuie sur un ver qui répand rapidement le ransomware en utilisant la vulnérabilité SMB dans les systèmes Microsoft. La combinaison est puissante et les dégâts massifs pourraient atteindre un niveau jamais connu auparavant ».
Les chercheurs de CyberArk Labs ont révélé que NotPetya avait besoin d’acquérir des droits d’administration pour fonctionner. Par conséquent, si un utilisateur clique sur un lien diffusé lors de la campagne de phishing, le ransomware pourra encore infecter le réseau. « En plus de l’application des correctifs, les entreprises doivent impérativement protéger leurs identifiants et renforcer leurs privilèges d’accès aux points d’extrémités afin d’éviter qu’ils ne soient détournés pour exécuter cette attaque », a ajouté Kobi Ben Naim. Enfin, le cabinet de sécurité informatique ESET vient de déclarer que le paiement de la rançon par courrier électronique n’était plus possible, car l’adresse de messagerie pour envoyer l'identifiant du portefeuille Bitcoin et la « clé d'installation personnelle » a été bloquée par le fournisseur.
Il ne faut surtout pas payer
Des entreprises basées au Royaume-Uni, en Ukraine, aux Pays-Bas, en Espagne, aux États-Unis et ailleurs ont été affectées par l'attaque du ransomware Petya. Les auteurs réclament toujours le paiement d’une rançon de 300 dollars US en Bitcoin pour livrer la clef de décryptage des fichiers. Sans aucune garantie quant à la restitution des données. Selon les mesures réalisées par Kaspersky Labs, les pirates ont lancé plus de 2 000 attaques dans le monde entier. Des entreprises ukrainiennes, dont le fournisseur d’énergie national et la banque centrale du pays, mais aussi Rosneft, le plus gros producteur de pétrole russe, la compagnie de transport maritime danoise Maersk, la société de fret basée aux Pays-Bas TNT et le fabricant américain de produits pharmaceutiques Merck ont tous signalé des dommages résultant de l'attaque.