[NotPetya] Le parquet ouvre une enquête contre la nouvelle campagne de ransomware

Sécurité

Par Elodie le

Une nouvelle cyberattaque de grande ampleur se répand à travers le monde en utilisant la même méthode de propagation que WannaCry. Après avoir touché l’Ukraine, où il a été détecté en premier, et la Russie, ce ransomware se déploie en Europe où il a déjà touché de grandes entreprises et administrations en France, au Danemark, mais aussi en Grande-Bretagne, en Norvège et aux Pays-Bas.

Petya, Petrwrap, GoldenEye, mais plus vraisemblablement NotPetya, si les experts divergent sur la nature du virus employé, ils s’accordent pour constater les effets de cette nouvelle campagne de ransomware qui se répand à travers le monde depuis le 27 juin, un mois seulement après la vague WannaCry.

Ses premiers effets ont été ressentis en Russie et en Ukraine où le gouvernement évoque une attaque « sans précédent » : la centrale nucléaire de Tchernobyl a été obligée de repasser à des mesures manuelles du niveau de radioactivité.

« Si vous voyez ce texte, c’est que vos fichiers ne sont désormais plus accessibles, parce qu’ils ont été chiffrés. Peut-être êtes-vous occupé à trouver un moyen de [les] récupérer, mais ne perdez pas votre temps.»

Depuis, le virus à la viralité foudroyante s’est répandu en Europe poussant certaines entreprises au chômage technique, comme en Allemagne chez le fabricant de la crème Nivea, Beiersdorf.

Entreprises et administrations sont touchées

En France, Auchan, la SNCF, l’industriel Saint-Gobain ou le géant publicitaire britannique WPP ont été touchés. Mais aussi le laboratoire Merck, première victime américaine dont le système informatique a été « compromis ».

Le parquet de Paris a annoncé ce jour l’ouverture d’une enquête pour tenter de démêler les nœuds de cette nouvelle cyberattaque d’ampleur. Les investigations, confiées à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), portent sur les chefs d’« accès, maintien frauduleux dans un système de traitement automatisé de données (STAD), introduction frauduleuse de données dans un STAD, entrave au fonctionnement d’un STAD, extorsion et tentative d’extorsion ».

Des points communs avec WannaCry

Plus tôt dans la journée de mardi, la police appelait à la vigilance en évoquant un virus « qui exploite le même mode de propagation de WannaCry», à savoir Ethernal Blue, outil développé par la NSA pour exploiter une faille dans Windows et divulgué en avril par le groupe de pirates Shadow Brokers. Si Microsoft avait bien diffusé un correctif, toutes les mises à jour ne semblent pas avoir été opérées. Toutes les versions de Windows seraient concernées.

De son côté, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié des recommandations de sécurité dans la soirée du 27 juin.

Le ransomware diffère de WannaCry sur un point notamment : une fois le processus de chiffrement terminé, le ransomware active une fonction spéciale qui force l’arrêt de l’ordinateur et déclenche un redémarrage, rendant ainsi l’ordinateur inutilisable jusqu’à ce que la rançon de 300 dollars en bitcoin soit acquittée.
Pourtant, l’attaque aurait moins avoir avec l’objectif d’un gain financier, qu’une destruction de données : « L’attaque a commencé en Ukraine, en utilisant un fournisseur de services de messagerie électronique classique et faillible comme canal de communication. C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers. Mais cela a ravagé les entreprises à travers le monde », explique Bogdan Botezatu, Spécialiste Sécurité chez Bitdefender.
En outre, « L’utilisateur doit saisir manuellement une “clé personnelle d’installation“ extrêmement longue et mixte, qui est susceptible de fautes de frappe. Normalement, les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d’automatisation qui rend le processus de paiement facile et sécurisé, presque au niveau de celui des banques en ligne. Ici, nous avons affaire à un désordre total en termes de convivialité” poursuit Botezatu. Une preuve de plus à mettre au crédit d’une volonté de détruire les données “saisies” et donc de porter atteinte aux structures touchées.

Par ailleurs, l’adresse mail utilisée par le pirate a été suspendue depuis, ce qui bloque de fait tout échange avec les victimes potentielles qui voudraient payer la rançon demandée pour récupérer leurs données. Ces dernières semblent donc bel et bien perdues.

Pour Mike Murray, Vice-Président Security Intelligence chez Lookout, la future menace se situe sur le mobile : “En effet, avec l’augmentation croissante des usages et des pratiques mobiles en entreprise beaucoup d’utilisateurs réalisent que bien que leur organisation soit infectée par NotPetya, ils peuvent quand même accéder à leurs mails, calendrier, réseaux sociaux, etc. grâce à leur smartphone et autres appareils mobiles.
Le ransomware est une véritable menace et si l’attaque du rançonlogiciel NotPetya avait aussi été mobile, la plupart des utilisateurs aurait été grandement affectée et handicapée. Sans une authentification à deux facteurs avec clé (token) pour se connecter au réseau d’une entreprise ou à des services tels que Google Maps et Uber/Lyft, une attaque de rançonlogiciel qui se propagerait via nos appareils mobiles pourrait causer des perturbations très significatives
.”

9 réponses à “[NotPetya] Le parquet ouvre une enquête contre la nouvelle campagne de ransomware”

  1. Merci pour cette mise à jours des informations Elodie 🙂
    Après, aussi une grosse différence avec Wannacry : ce ransomware ne peut pas être bloqué juste avec une URL. Pour ça qu’actuellement c’est plus compliqué pour les entreprises qui ont été infecté 😡

  2. Bonjour, vous dites ” jusqu’à ce que la rançon de 300 dollars en bitcoin soit acquittée.”
    Avec la fermeture du mail utilisé par le pirate pour échanger avec ces victimes, il me semble que le paiement de rançon ne changera rien… les données seront pour l’instant perdues.

  3. Le côté positif de ces attaques multiples, c’est qu’elles vont permettre aux éditeurs de sécuriser leurs systèmes, et sensibiliser enfin les entreprises publiques ou privées, petites ou grandes, aux risques informatiques.

  4. si je reçois un rançonware sur mon PC, mon risque, c’est de perdre 1 ou 2 fichiers que j’aurais pas copié-collés, comme je le fais toujours, au moins dans mon dossier “SAVE RAPIDE” sur une carte mémoire.

    Ensuite je fais quoi ?
    – Restauration de mon image disque de C
    – Reformattage de mes disques de datas
    – Reconstitution de toutes mes datas à partir de mes SAVE RAPIDE et SAVE sur cartes SD / DVD-R / M-Discs.
    Alors personnellement leurs blagues, ça m’en touche une sans bouger l’autre

    • mouais ça fait quand même perdre pas mal de temps même avec du Backup…
      Je pleurerai d’avance à l’idée de devoir reconstruire mon raid… 18To -> 160 heures mini juste pour la reconstruction… ça pique! :/

  5. En même temps , j’ai envie de dire que ceux qui n’ont pas fait le nécessaire pour patcher leurs postes et serveurs lors de l’épisode Wanacrypt méritent limite ce qu’il leurs arrive avec cette seconde vague

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *