kaptn - Fotolia
#NotPetya : ce qui s'est vraiment passé
Un logiciel malveillant se propage largement en Europe et dans le monde depuis ce mardi 27 juin. Il rappelle à certains égards le ransomware Petya et emprunte beaucoup à WannaCry.
L’épisode affiche une étendue impressionnante. Depuis le milieu de l’après-midi de ce mardi 27 juin, un logiciel malveillant se diffuse rapidement depuis l’Ukraine à travers l’Europe et le monde.
Dans le pays d’où l’épidémie est partie, des ministères sont affectés, plusieurs banques, avec leurs distributeurs automatiques, des énergéticiens, des médias, des entreprises de logistique, l’aéroport international Boryspil, à Kiev,son métro, ainsi que des ordinateurs de la centrale nucléaire de Tchernobyl ou encore des opérateurs télécoms, des compagnies pharmaceutiques et des supermarchés. La liste est longue.
Et elle s’étend donc au-delà de la seule Ukraine, même si c’est le pays le plus touché. Car des multinationales ont été touchées, comme les sidérurgistes Arcelor Mittal et Evraz, Merck, Saint Gobain, Auchan, la SNCF, le publicitaire britannique WPP, le cabinet d’avocats DLA Piper, et le transporteur danois Maersk. Une partie de la banque d’investissement d’une grande banque française aurait également été affectée, de même qu’une usine de Cadbury’s en Australie.
We confirm some Maersk IT systems are down. The safety of our customers' business and our people is our top priority. Updates to follow.
— Maersk Line (@MaerskLine) June 27, 2017
La propagation
Cette diffusion peut en partie s’expliquer par les interconnexions réseau entre filiales en Ukraine et maison mère ou encore avec des partenaires locaux. De fait, après l’infection d’un poste de travail, le logiciel malveillant, appelé NotPetya par Kaspersky (puis ExPetr), se propage à travers le réseau local en s’appuyant sur une vulnérabilité déjà exploitée précédemment par WannaCry et rendue publique plutôt cette année : « une version modifiée de l’exploit EternalBlue », explique l’éditeur, combinée à l’exploit EternalRomance, « un exploit d’exécution de code à distance visant Windows de XP à 2008 sur le port TCP 445 ». Dès lors, « un seul système infecté sur le réseau disposant de droits d’administration est capable de propager l’infection sur les tous les autres ordinateurs via WMI ou PSEXEC ».
Yes. This is emerging (i.e. still looking) but it looks like it hijacks session creds and scans for admin$/spread via PsExec/WMI. https://t.co/HpdWPt2Quh
— Kevin Beaumont (@GossiTheDog) June 27, 2017
Dans le détail, NotPetya énumère toutes les interfaces réseau et, de là, « tous les noms connus de serveurs via NetBIOS » et récupère aussi la liste des adresses IP attribuées par serveur DHCP : « chaque IP du réseau local et chaque serveur trouvé est examiné à la recherche de ports TCP 445 et 139 ouverts ». Les machines accessibles via ces ports sont alors attaquées à leur tour.
Mais NotPetya ne se contente pas de ça. Il cherche aussi à collecter des identifiants de comptes d’utilisateurs sur les machines compromises afin de renforcer ses capacités de propagation, en particulier s’il trouve des cibles potentielles sur lesquelles les correctifs disponibles depuis le début de l’année ont été appliqués.
Petya is not WannaCry without a kill switch, it does not spread between networks. it scans a /24 (max of 255 computers) on your LAN.
— MalwareTech (@MalwareTechBlog) June 27, 2017
Le point de départ
NotPetya tient son nom de… Petya, un logiciel malveillant connu et bien documenté. Beaucoup pensaient initialement qu’une variante avait émergé. Mais les apparentes ressemblances n’ont pas résisté à l’examen approfondi. Certains l’appellent également GoldenEye et Petrwrap quand les équipes de Talos, chez Cisco, préfèrent parler de Nyetya. Et de souligner que l’identification formelle des vecteurs de distribution initiaux reste difficile.
Les équipes de police cyber ukrainiennes ont parlé de distribution par courriel malveillant. Mais l’éditeur d’un logiciel comptable très répandu dans le pays, MEDoc, est rapidement venu alimenter une autre hypothèse.
This was the update process at issue of 'patient zero' it appears - it happens automatically https://t.co/lTH272JANu pic.twitter.com/4IgYKNIEQ4
— Kevin Beaumont (@GossiTheDog) June 27, 2017
Une mise à jour compromise du logiciel aurait été diffusée à l’insu de l’éditeur. La police locale tend également à confirmer cette piste. Microsoft indique également avoir observé des événements concordants.
Essentially what happened is MeDoc (big financial software) was hacked and they pushed out the malware via the update feature.
— MalwareTech (@MalwareTechBlog) June 27, 2017
Le vaccin
A l’instar des autres rançongiciels, NotPetya prend le contenu de l’ordinateur en otage. Il demande une rançon de 300 $ en bitcoins. A l’heure où ces lignes sont écrites, celle-ci a été payée une quarantaine de fois.
Mais après son installation, le logiciel malveillant attend quelques dizaines de minutes pour entrer véritablement en action. Passé ce délai, il redémarre la machine, présentant un écran donnant l’impression d’un contrôle d’intégrité du disque dur. En réalité, il commence à chiffrer la table MFT, celle qui contient toutes les informations relatives à l’emplacement des fichiers et des dossiers d’une partition NTFS. Les fichiers sont en outre chiffrés eux aussi, individuellement.
Le redémarrage peut être l’occasion d’éteindre la machine suspectée d’être compromise, pour récupérer son contenu et supprimer le logiciel malveillant, à partir d’un système installé sur un périphérique de stockage distinct. A condition d’agir vite.
Amit Serper, de Cybereason, a également trouvé un vaccin : la création d’un fichier spécifique dans le dossier C:\Windows qui bloque l’exécution partielle de NotPetya. Partielle parce que seul le chiffrement est là prévenu, pas la propagation. L’éditeur propose également désormais un vaccin plus complet à télécharger gratuitement.
Weve released a new version of ransomfree that works against #NotPetya, based on generic detection, not the temp fix https://t.co/7hlXv21DfH
— Amit Serper (@0xAmit) June 28, 2017
Surtout, il s’avère plus jamais inutile de payer la rançon. Pour obtenir le déchiffrement des données d’une machine compromise, il fallait communiquer par e-mail avec les opérateurs de NotPetya. Mais leur adresse e-mail a été bloquée par le prestataire utilisé, Posteo, dans la journée de mardi 27 juin. Il est donc désormais plus que vain de chercher à dialoguer avec ces attaquants.