Le virus ransomware Petya continue de se propager à travers le monde. Les grandes multinationales et institutions publiques semblent sont les cibles les plus touchées étant donné que celui-ci exploite les failles réseaux des machines d’entreprises.

499979-ransomware-feature

Une attaque qui rappelle celle qui avait fait des dégâts en mai dernier, Wannacry. Un virus qui demandait des rançons contre la libération des machines et données infectées. Wannacry avait exploité un logiciel connu EternalBlue, développé par la NSA et qui avait été détourné pour s’attaquer principalement à des cibles faciles.

Cette fois-ci encore, le rançongiciel Petya (ou Petrware) exploite EternalBlue, mais semble se concentrer sur les grandes multinationales et institutions publiques, notamment transporteur danois Maersk, le pétrolier russe Rosneft et l’entreprise pharmaceutique américain Merck. Des attaques ont aussi été signalée aux États-Unis, en France et au Royaume-Unis.

Une infection en réseau

Sans avoir encore de certitude, le virus aurait deux moyens pour se propager. En tout cas c’est ce que pensent plusieurs chercheurs en sécurité. La première manière serait l’exploitation des failles systèmes connues; les outils de réseaux Windows. Petites merveilles pour les pirates puisque ceux-ci sont rarement sécurisés et relient plusieurs machines entre elles. Une aubaine pour la propagation de logiciels malveillants.

C’est justement ce qui explique l’étendue de l’attaque. Lorsqu’un seul ordinateur est infecté, celui-ci infecte tous ceux se trouvant sur le même réseau d’administration, comme c’est le cas chez les entreprises. Petya exploite en effet le Windows Management Instrumentation (WMI) afin de gagner du terrain. Avec l’attaque de Wannacry, beaucoup de réseaux avaient été amélioré, mais il semblerait que ça ne soit pas le cas de tous.

Une mise à jour falsifiée

La seconde manière de se propager serait, pour les chercheurs de Talos Intelligence, que le ransomware s’est propagé à travers une mise à jour falsifiée. Celui-ci se serait attaqué à un système ukrainien plus fragile, MeDoc. L’intéressé nie ses accusations, mais l’hypothèse de Talos Intelligence ne semble pas être la seule à aller dans ce sens. La fragilité de MeDoc aurait donc permis aux pirates de s’attaquer à n’importe quel système exploitant le logiciel et ainsi pu se propager partout. C’est ce qui expliquerait pourquoi près de 60% des infections totales se sont déroulées en Ukraine, y compris dans la banque centrale et dans le plus grand aéroport du territoire.

Des techniques d’intrusion connues

Ce genre d’exploitation n’est pas nouvelle. En 2012 déjà, le virus ransomware Flame avait compromis le processus de mise à jour Windows pour infecter des machines en Iran. En 2013, ce sont les banques sud-coréennes et les stations de télévisions qui avaient subies une attaque du même genre, répandue par le système de correctif internes.

Pour le chercheur en sécurité de NYU, Justin Cappos, les développeurs ne vérifient pas la sécurité de leurs mises à jour, ni des correctifs sous-jacents et c’est ce qui ferait la vulnérabilité des machines.

Pour rappel, le virus emprisonne les ordinateurs infectés et ce, même si on éteint et rallume ceux-ci. Le message qui s’affiche sur l’écran de ses victimes demande un rançon de 300 dollars à pays en Bitcoins (monnaie virtuelle) pour récupérer ses accès et données personnelles, mais rien ne dit si la démarche fonctionne vraiment. D’ailleurs, on ne sait pas vraiment si le logiciel malveillant disparait totalement ou s’il somnole, caché dans les entrailles informatiques des ordinateurs jusqu’à une nouvelle attaque.