Ransomware : un simili-Petya sème le trouble, y compris en France

RisquesSécuritéVirus
simili-petya-ransomware

Ukraine, Etats-Unis, France…Des signaux d’alertes se multiplient avec l’offensive d’une variation de Petya, un rançongiciel qui touche les serveurs et les endpoints.

Après WannaCry qui a sévi en mai, une nouvelle campagne de ransomware de type Petya provoque des frayeurs dans le monde. L’alerte a été donnée dans la journée avec une première vague d’entreprises et d’organisations touchées, y compris en France.

Elle est à prendre au sérieux, selon le CERT-FR. La cellule nationale d’alertes aux menaces informatiques a émis un bulletin en deuxième partie de l’après-midi à propos de cette simili-offensive Petya (que les médias appellent parfois « Petrwrap »).

Le risque encouru est « l’installation et la propagation d’un logiciel malveillant de type rançongiciel, voire, à terme, d’autres logiciels malveillants », estime le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (rattaché à l’Agence nationale de la sécurité des systèmes d’information ou ANSSI).

En sachant que le vecteur d’infection initial demeurait « inconnu » lorsque le signal d’alarme a retenti (27 juin 2017 à 16h30).

Selon les premières retombées, le code malveillant se propage via le réseau. Les serveurs et les postes de travail en entreprise sont concernés a priori.

En cas d’infection, la machine redémarre et affiche un message demandant un paiement équivalent à 300 dollars en bitcoins (une rançon qu’il faut éviter de payer) et de contacter une adresse électronique spécifique.

Si un administrateur doit agir vite après infection, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. Isoler sans toutefois éteindre.

« L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés », évoque la cellule d’alerte. L’équivalent américain (US-CERT) recommande aussi la plus grande vigilance.

Selon Silicon.fr, des entreprises touchées ont été localisées dans diverses zones géographiques : Ukraine, Russie, Espagne, Royaume-Uni et France. Saint-Gobain (matériaux pour bâtiments) admet faire partie des entreprises affectées. Un porte-parole du groupe industriel déclare que « les systèmes informatiques ont été isolés par mesure de sécurité » mais sans préciser le périmètre affecté.

De son côté, la SNCF déclare être aussi touchée mais l’attaque serait  « contenue », selon l’AFP.

Le parquet de Paris vient d’ouvrir une enquête de flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données »‘.

D’autres alertes se sont déclenchées dans le monde : A.P. Moller-Maersk (transport maritime, Danemark), Rosneft (pétrole, Russie), Evraz (sidérurgie, Russie), Merck (pharmacie, USA), WPP Group (publicité, Royaume-Uni) et DLA Piper (cabinet d’avocats, USA)

Ukraine sous pression

Selon Le Monde, l’Ukraine semble particulièrement affectée avec des firmes paralysées comme Kyivenergo ou Ukrenergo (énergie) mais aussi des aéroports et des administrations.

Les services de plusieurs banques du pays, ainsi que des distributeurs de billets du métro de la capitale Kiev sont perturbés. La filiale locale du distributeur français Auchan a également été touchée.

Selon divers experts en cybersécurité, la campagne en cours serait orchestrée avec une variante de Petya. Une souche connue depuis un an et demi qui a la particularité de chiffrer le Master Boot Record (le premier secteur adressable d’un disque dur) et non des documents et des applications.

Ce qui empêche les administrateurs de redémarrer leur machine, évoque l’éditeur américain de sécurité IT CyberArk Labs. A moins de verser une rançon au pirate qui agit en coulisse mais gare au piège : le retour à une situation normale n’est pas garanti…

Pour sa part, Kaspersky (fournisseur de solutions de sécurité numérique d’origine russe) recense 2000 cas d’infections ciblées avec ce simili-Petya (baptisé « NotPetya » du coup).

Il considère qu’une version modifiée d’un exploit EternalBlue (une vulnérabilité présente dans le protocole Server Message Block dans les systèmes Microsoft à patcher d’urgence si WannaCry n’a pas servi de leçon) sert de canal de propagation de la menace, au moins sur les réseaux d’entreprise.

(Crédit photo : archive NME)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur