Retrouver toute notre actualité,            
et nos études de cas client.

Informations sur le ransomware NotPetya

Actualité
28 Juin 2017

Le principal coupable de cette attaque est une nouvelle version de Petya, un système de ransomware qui écrase et chiffre les tables MFT (Arbre Fichier Maître) pour les partitions NTFS et écrase le MBR (Master Boot Record) avec un chargeur de démarrage personnalisé qui montre une note de rançon afin d’empêcher les victimes de démarrer leur ordinateur Windows. Pour cette raison, Petya est plus dangereux et intrusif par rapport à d'autres souches car il redémarre les systèmes et les empêche de travailler complètement.

Selon plusieurs sources, l'auteur de cette nouvelle souche de Petya semble s'être inspiré de l'épidémie de WannaCry du mois dernier et a ajouté un travail SMB similaire basé sur l'exploit ETERNALBLUE de la NSA mais également deux autres mouvement latéraux pour sa propagation. Cela a été confirmé par Payload Security, Avira, Emsisoft, Bitdefender, Symantec et d' autres chercheurs en sécurité. Alors que WannaCry a été arrêté par un mécanisme "killswitch", cette version de Petya semble être affectée par cette même faiblesse. Le malware vérifie la présence du nom de fichier perfc dans % windir% appelé perfc sans extension et NotPetya ne se lance pas.

 

Résumé d'exécution du malware

Risques

  • Installation et propagation d'un logiciel malveillant de type Rançongiciel, voire, à terme, d'autres logiciels malveillants
  • Indisponibilité des postes et serveurs infectés
  • Perte de données

 

Vecteurs d'infection

Le vecteur d’infection initial pourrait être un courriel avec une pièce jointe malveillante sous la forme d’un document Office. Le programme malveillant ensuite exécuté peut-être vu comme constitué de quatre parties : 

  • Un composant de téléchargement de payload utilisant la vulnérabilité du bureau RTF CVE-2017-0199 via une pièce jointe Office (Vecteur d’attaque très probable)
  • Un composant chargé de la propagation via le réseau 
  • Un rançongiciel par écrasement et chiffrement des tables MFT (Arbre Fichier Maitre) pour les NTFS
  • Une bombe logique forçant le redémarrage par écrasement du MBR (Master Boot Record) avec un chargeur de démarrage personnalisé qui montre une note de rançon en ASCII et empêche les victimes de démarrer leur ordinateur.

 

Mouvement latéral

NotPetya utilise trois mécanismes pour se propager à d'autres hôtes :

  • NotPetya scanne le réseau local / 24 pour découvrir et énumérer les partages ADMIN$ sur d'autres systèmes, puis se copier sur ces hôtes et exécuter le logiciel malveillant en utilisant PSEXEC. Ceci n'est possible que si l'utilisateur infecté a le droit d'écrire des fichiers et de les exécuter sur le système hébergeant le partage.
  • NotPetya utilise l'outil de ligne de commande Windows Management Instrumentation (WMIC) pour se connecter aux hôtes sur le sous-réseau local et tente de s'exécuter à distance sur ces hôtes. Il peut utiliser Mimikatz pour extraire les informations d'identification du système infecté et les utiliser pour s'exécuter sur l'hôte ciblé.
  • NotPetya tente finalement d'utiliser l'outil d'exploitation ETERNALBLUE contre les hôtes sur le sous-réseau local. Cela ne réussira que si l'hôte ciblé n'a pas déployé les correctifs MS17-010.

Source : Palo Alto

 

Systèmes affectés

  • Systèmes d’exploitation Windows vulnérables et en réseau maintenus par l’éditeur sur lesquels le correctif MS17-010 n’aurait pas été installé et les mise à jours concernant la CVE-2017-0199
  • Systèmes d’exploitation Windows vulnérables obsolètes et en réseau (Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009) sur lesquels le correctif KB4012598, KB4015551 et KB4015549 n’aurait pas été installé
  • Tous systèmes d’exploitation Windows sur lesquels un utilisateur ouvrirait la pièce jointe malveillante.

 

Mutex

L’attention est attirée sur le fait que plusieurs variantes du Rançongiciel ont pu être distribuées et que le composant Rançongiciel a pu être remplacé dans certains cas par un composant moins visible.

 

Origine

Non déterminée

 

Zoom sur la propagation du virus

Pour capturer les informations d'identifications pour la diffusion, le ransomware utilise des outils personnalisés, la Mimikatz. Ces extraits des informations d'identifications du processus lsass.exe. Après l'extraction, les informations d'identification sont transmises aux outils PsExec ou à WMIC pour distribution dans un réseau.

D'autres vecteurs d'infections observés comprennent:

  • Un exploit EternalBlue modifié, également utilisé par WannaCry.
  • L'exploit EternalRomance: un exploit d'exécution de code à distance ciblant les systèmes Windows XP vers Windows 2008 sur le port TCP 445 (Note: corrigé avec MS17-010).
  • Une attaque contre le mécanisme de mise à jour d'un produit tiers ukrainien appelé MeDoc.

IMPORTANT: Un seul système infecté sur le réseau possédant des informations d'identification administratives est capable de diffuser cette infection à tous les autres ordinateurs via WMI ou PSEXEC.

 

Réaction face au virus

Pour réduire votre zone d'exposition il est recommandé d'appliquer les mesures traditionnelles face aux ransomware. Nous vous conseillons notamment : 

  • L'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010
  • Le respect des recommandations génériques relatives aux rançongiciels
  • La non-exposition du service SMB, en particulier sur internet ;
  • Les sauvegardes régulières de vos systèmes. Cela permettra d’avoir dans un état sain en back-up en cas d’infection ;
  • Le respect du principe de moindre privilège pour les utilisateurs, afin de limiter l'élévation de privilèges et la propagation latérale de l'attaquant
  • La consigne de ne pas payer la rançon.

 

Sources d'informations

http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/index.html

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ran...

https://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt...

https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-...

https://blog.varonis.com/massive-ransomware-outbreak-what-you-need-to-know/

https://researchcenter.paloaltonetworks.com/2017/06/palo-alto-networks-p...

https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332...

https://www.tenable.com/blog/petyanotpetya-ransomware-detection-for-the-...

https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d2...