Après WanaCry au mois de mai, les variantes du malware Petya visent désormais à rendre les partitions disque inaccessibles. Le vecteur de diffusion est une mise à jour compromise du logiciel ukrainien MeDoc de gestion des taxes.
« Cette nouvelle variante de Petya est une attaque destructive destinée à casser les machines pour ne donner aucune chance de recouvrer les fichiers », résume Jérôme Segura, chercheur en sécurité chez Malwarebytes.
Alors que pour WanaCry le vecteur principal était la faille du protocole SMB de Windows publiée par le groupe de hackers Shadow Brokers, la variante de Petya exploite d’autres services Windows pour se propager de manière latérale, sur un réseau local. Malgré les dénégations de l’éditeur du logiciel MeDoc, il est aujourd’hui établi qu’une mise à jour infectée de cette solution est la source de l’attaque.
« Il y a déjà eu de nombreuses attaques contre l’Ukraine, visant notamment son réseau électrique à plusieurs reprises. Utiliser ce ransomware était un déguisement pour une attaque de nature politique » commente Jerôme Ségura.
La modicité des sommes collectées par les pirates avec WanaCry et à fortiori avec la variante de Petya montre très clairement que le « modèle économique » du ransomware perd beaucoup de sa pertinence, car les entreprises et les organisations savent maintenant qu’il ne sert à rien de payer. Concernant ce type de malwares, la relation de confiance, entre les attaquants et leurs victimes, si tant est qu’elle ait existé, est aujourd’hui rompue.
Des services informatiques qui doivent s’adapter en permanence
« Le vecteur principal de la variante de Petya n’était pas un scan externe de la faille SMB. On ne peut pas donc pas dire que les RSI (Responsables des systèmes d’information) et RSSI (Responsables de la sécurité des systèmes d’information) auraient dû corriger la faille SMB, car le mode de propagation est différent », tempère Jerôme Segura.
Cependant, les responsables de la sécurité doivent plus que jamais rester en alerte sur les outils et procédures défensifs. Un antimalware à jour et installé sur toutes les machines d’un parc doit être capable de bloquer proactivement les attaques, c’est le cas de Malwarebytes pour les deux dernières menaces de mai et juin.
Face aux variantes des codes malicieux, il est impossible de s’appuyer exclusivement sur une base de signatures des attaques. La parade préventive consiste dans ce cas à utiliser une méthode heuristique, à savoir une détection du comportement d’un malware tel que l’accès aux fichiers systèmes, à la table des partitions d’un disque, à certains services réseau Windows.
Lorsque l’attaque s’est produite, il faut déconnecter les machines et serveurs infectés du réseau local et bien entendu d’Internet pour éviter que l’infection se répande. En cas d’attaque par ransomware, il existe parfois une petite probabilité de retrouver à postériori les clés de cryptage. « Il ne faut pas toucher aux machines infectées, car, parfois, nous pouvons trouver une solution pour déchiffrer les fichiers cryptés », conseille Jérôme Segura. Il faut bien comprendre que les dégâts ne sont pas limités aux données perdues, mais aussi aux services publics et privés qui ne peuvent plus être délivrés aux clients et aux usagers.
