Jiga

Cyberattaque : Nouvelle vague mondiale #NotPetya

Une première attaque ciblé en Ukraine et en Russie pour s’étendre en Europe et aux Etats-Unis

Plus tôt dans la semaine, mardi 27 Juin 2017, des banques et des entreprises ukrainiennes annoncent s’être fait pirater leur système informatique. La bonne centrale ukrainienne a fait part de ce message aux banques et autres acteurs du marché financiers qu’une cyberattaque était en cours et visait notamment différentes entreprises commerciales et publiques. Elle déclare par la suite dans un communiqué ”les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires”.

Les banques touchées par le ransomware NotPetya

 

On constate très rapidement que d’autres secteurs d’activités sont touchés comme des énergéticiens, des opérateurs télécoms, la poste locale, des aéroports, des médias et des ministères. Le métro de Kiev a communiqué, à travers sa page Facebook, ne pas pouvoir accepter de paiements en carte bancaire à ses guichets à cause d’”une cyberattaque“. Les panneaux d’affichage et le site internet de l’aéroport de la capitale ukrainienne ont également été paralysés.

En début d’après-midi, on apprenait que d’autres entreprises de différentes nationalités étaient également attaquées. Le virus “se répand dans le monde entier, un grand nombre de pays sont affectés”, a prévenu sur Twitter Costin Raiu, chercheur du laboratoire russe Kaspersky.

Petrwrap/Petya ransomware variant with contact wowsmith123456@posteo.net spreading worldwide, large number of countries affected.

— Costin Raiu (@craiu) 27 juin 2017

En ce qui concerne la France, le fabricant de verre Saint-Gobain a lui aussi été victime de la cyberattaque. “Pour protéger nos clients et notre activité, nous avons isolé les systèmes informatiques infectés“, a déclaré sa porte-parole.

Le distributeur Auchan, a quant à lui déclaré que sa filiale ukrainienne avait été affectée par l’attaque: “On a tout de suite isolé nos systèmes, tous nos terminaux de paiement sont inactifs. On va rencontrer de graves difficultés d’approvisionnement parce que nos fournisseurs sont très touchés. Mais le e-commerce fonctionne, et nous ne prévoyons pas de fermetures de magasins”

De nombreuses autres sociétés de rayonnement international ont été touchées par ce cryptovirus jusqu’aux Etats-Unis. Aucune entreprise n’est à l’abri de cette menace.

 

Une cyberattaque similaire à celle du ransomware WannaCry

NotPetya-Ransomware-infection-Group-IB

 

Cette nouvelle vague est semblable à l’épisode que nous avons connu précédemment en Mai 2017 mais celui-ci pourrait être plus dévastateur que WannaCry car plus stable et moins évident à contenir. Les professionnels l’ont surnommé NotPetya pour sa similarité avec le ransomware Petya cependant l’hypothèse d’une variante de ce dernier fut écarté d’où le nom NotPetya.

Selon les experts du secteur de sécurité informatique un logiciel de comptabilité ukrainien « MeDoc »serait à l’origine de cette cyberattaque, profitant d’une vulnérabilité lors d’une mise à jour dont la signature n’a pas été vérifiée. C’est donc le principal vecteur de propagation en Ukraine mais aussi à l’international. C’est le cas par exemple du géant danois Maersk qui utilisait ce logiciel dans une filiale ukrainienne,  mais ce n’est toutefois pas la seule source.

Ce malware se présente de la même manière que les autres ransomware, il provoque le chiffrement de tous les fichiers d’un poste ainsi que les fichiers accessibles en écriture sur le réseau auquel est connecté cet ordinateur. Une fenêtre apparaît alors pour notifier à l’utilisateur du cryptage de ses données et des modalités de récupération, soit le versement d’une somme équivalente à environ 300 € en Bitcoin. Ce moyen de paiement est privilégié par les pirates pour sa caractéristique préservant l’anonymat.

Nous rappelons qu’il est inutile de payer ces rançons car contrairement à ce que vous pouvez lire dans le message des hackers, les chances de voir ses données décryptées sont nulles. D’autant plus que pour le cas de NotPetya le fournisseur de mail Posteo a bloqué l’adresse “wowsmith123456@posteo.net” listée dans le message du rançongiciel ainsi les personnes ayant payé ne pourront jamais voir leurs données déchiffrées par les hackers.

Les recommandations de sécurité de l’ANSSI

 

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande

- l’application immédiate des mises à jour de sécurité (à titre préventif, plus particulièrement celle de Microsoft MS17-010)

- le respect des recommandations génériques relatives aux rançongiciels

- de limiter l’exposition du service de partage de fichiers sur Internet

De manière préventive, s’il n’est pas possible de mettre à jour un serveur ou un ordinateur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires. En complément, les bases de signatures d’anti-virus doivent être mises à jour.

En cas d’incident – Mesures réactives

Si le code malveillant est découvert sur vos systèmes :

Déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés ; alertez le responsable sécurité ou le service informatique au plus tôt ; sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Vous pouvez retrouver nos conseils pour votre sauvegarde sur notre article dédié à la sauvegarde.

Ne pas payer la rançon. Le paiement ne garantit en rien la récupération de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).

Vous pouvez retrouver le communiqué officiel de l’ANSSI sur le lien suivant ssi.gouv.fr

backup_and_disaster_recovery_planning_your_best_defense_against_ransomware-1280x640

 

Réagir

captcha *