Cette attaque est troublante car c'est la deuxième attaque majeure de rançongiciels en deux mois, qui a touché des entreprises du monde entier. Vous vous souvenez peut-être qu'en mai, le National Health Service, NHS, en Grande-Bretagne, a été infecté par un logiciel malveillant appelé WannaCry. Ce programme a affecté le NHS et de nombreuses autres organisations à travers le monde. WannaCry a été révélé au public pour la première fois lorsque des documents divulgués liés au NHS ont été publiés en ligne par des pirates informatiques connus sous le nom de Shadow Brokers en avril.
Le logiciel WannaCry, également appelé WannaCrypt, a touché plus de 230 000 ordinateurs, répartis dans plus de 150 pays à travers le monde. En plus du NHS, Telefonica, une compagnie de téléphone espagnole, et des chemins de fer d'État en Allemagne ont également été attaqués.
Semblable à WannaCry, "Petya" se propage rapidement à travers les réseaux qui utilisent Microsoft Windows. La question est, cependant, c'est quoi? Nous voulons aussi savoir pourquoi cela se passe et comment on peut l'arrêter.
Qu'est-ce qu'un rançongiciel?
La première chose que vous devez comprendre est la définition de ransomware . Fondamentalement, ransomware est tout type de malware qui fonctionne pour bloquer votre accès à un ordinateur ou des données. Ensuite, lorsque vous essayez d'accéder à cet ordinateur ou aux données qu'il contient, vous ne pouvez pas y accéder à moins de payer une rançon. Assez méchant, et carrément méchant!
Comment fonctionne Ransomware?
Il est également important de comprendre comment fonctionne le rançongiciel. Lorsqu'un ordinateur est infecté par un ransomware, il devient crypté. Cela signifie que les documents sur votre ordinateur sont alors verrouillés, et vous ne pouvez pas les ouvrir sans payer une rançon. Pour compliquer davantage les choses, la rançon doit être payée en Bitcoin, pas en espèces, pour une clé numérique que vous pouvez utiliser pour déverrouiller les fichiers. Si vous n'avez pas de sauvegarde de vos fichiers, vous avez deux choix: vous pouvez payer la rançon, qui est généralement de quelques centaines de dollars à plusieurs milliers de dollars, ou vous perdez l'accès à tous vos fichiers.
Comment fonctionne le "Petya" Ransomware?
Le rançongiciel "Petya" fonctionne comme la plupart des rançongiciels. Il prend en charge un ordinateur, puis demande 300 $ en Bitcoin. C'est un logiciel malveillant qui se propage rapidement à travers un réseau ou une organisation une fois qu'un seul ordinateur est infecté. Ce logiciel utilise la vulnérabilité EternalBlue, qui fait partie de Microsoft Windows. Bien que Microsoft a maintenant publié un correctif pour la vulnérabilité, tout le monde ne l'a pas installé. Le rançongiciel est également potentiellement diffusé via les outils d'administration Windows, qui est accessible s'il n'y a pas de mot de passe sur l'ordinateur. Si le malware ne peut pas aller dans un sens, il en essaie automatiquement un autre, et c'est ainsi qu'il s'est propagé si rapidement au sein de ces organisations.
Ainsi, "Petya" se propage beaucoup plus facilement que WannaCry, selon des experts en cybersécurité.
Y a-t-il un moyen de se protéger de "Petya?"
Vous vous demandez probablement à ce stade s'il existe un moyen de vous protéger de "Petya". La plupart des grandes sociétés antivirus ont déclaré avoir mis à jour leur logiciel pour non seulement détecter, mais pour protéger contre le malware "Petya". Par exemple, le logiciel Symantec offre une protection contre «Petya» et Kaspersky a mis à jour tous ses logiciels pour aider les clients à se protéger contre les logiciels malveillants. En plus de cela, vous pouvez vous protéger en gardant Windows à jour. Si vous ne faites rien d'autre, installez au moins le correctif critique que Windows a publié en mars, ce qui le protège contre cette vulnérabilité EternalBlue. Cela arrête l'un des principaux moyens d'infection, et protège également contre les attaques futures.
Une autre ligne de défense pour l'épidémie de logiciels malveillants "Petya" est également disponible, et il n'a été découvert que récemment. Le logiciel malveillant vérifie le lecteur C: \ pour un fichier en lecture seule appelé perfc.dat. Si le logiciel malveillant trouve ce fichier, il n'exécute pas le chiffrement. Cependant, même si vous avez ce fichier, il n'empêche pas réellement l'infection de logiciels malveillants. Il peut toujours propager le malware à d'autres ordinateurs sur un réseau même si l'utilisateur ne le remarque pas sur leur ordinateur.
Pourquoi ce logiciel malveillant est-il appelé "Petya"?
Vous pourriez également vous demander pourquoi ce malware est nommé "Petya". En fait, il n'est pas techniquement appelé "Petya". Au lieu de cela, il semble partager beaucoup de code avec un vieux morceau de ransomware qui s'appelait "Petya". Après l'éclosion initiale, cependant, les experts en sécurité ont noté que ces deux ransomwares n'étaient pas aussi similaires qu'on le pensait. Ainsi, les chercheurs de Kaspersky Lab ont commencé à qualifier le malware de "NotPetya" (c'est original!) Ainsi que d'autres noms tels que "Petna" et "Pneytna". D'autres chercheurs ont appelé le programme "Goldeneye". Bitdefender, de Roumanie, a commencé à l'appeler. Cependant, "Petya" était déjà coincé.
Où est-ce que "Petya" a commencé?
Vous vous demandez où "Petya" a commencé? Il semble avoir commencé par un mécanisme de mise à jour à partir d'un logiciel qui est intégré dans un certain programme de comptabilité. Ces entreprises travaillaient avec le gouvernement ukrainien et ont demandé au gouvernement d'utiliser ce programme particulier. C'est pourquoi tant d'entreprises en Ukraine ont été touchées par cela. Les organisations comprennent les banques, le gouvernement, le système de métro de Kiev, le principal aéroport de Kiev et les services publics d'électricité.
Le système qui surveille les niveaux de rayonnement à Tchernobyl a également été affecté par le rançongiciel, et a finalement été mis hors ligne. Cela a obligé les employés à utiliser des appareils portatifs manuels pour mesurer le rayonnement dans la zone d'exclusion. En plus de cela, il y avait une deuxième vague d'infections de logiciels malveillants qui ont été engendrés par une campagne qui comportait des pièces jointes de courrier électronique, qui étaient remplies de logiciels malveillants.
Dans quelle mesure l'infection "Petya" s'est-elle propagée?
Le rançongiciel "Petya" s'est répandu dans le monde entier et a perturbé l'activité des entreprises aux États-Unis et en Europe. Par exemple, WPP, une société de publicité aux États-Unis, Saint-Gobain, une société de matériaux de construction en France, et Rosneft et Evraz, des sociétés pétrolières et sidérurgiques en Russie, ont également été touchées. Une société de Pittsburgh, Heritage Valley Health Systems, a également été touchée par le malware "Petya". Cette entreprise gère des hôpitaux et des établissements de soins dans toute la région de Pittsburgh.
Cependant, contrairement à WannaCry, le malware "Petya" tente de se propager rapidement à travers les réseaux auxquels il accède, mais il ne tente pas de se propager en dehors du réseau. Ce seul fait pourrait avoir aidé les victimes potentielles de ce malware, car il a limité la propagation de celui-ci. Donc, il semble y avoir une diminution du nombre de nouvelles infections observées.
Quelle est la motivation pour les cybercriminels qui envoient "Petya?"
Quand "Petya" a été découvert, il semble que l'apparition du malware était simplement une tentative d'un cybercriminel de tirer parti des cyber-armes en ligne. Cependant, lorsque les professionnels de la sécurité ont regardé de plus près l'épidémie de logiciels malveillants «Petya», ils ont dit que certains mécanismes, comme la façon dont les paiements sont perçus, sont plutôt amateurs. Ils ne croient donc pas que les cybercriminels sont derrière.
Tout d'abord, la note de rançon fournie avec le malware "Petya" inclut exactement la même adresse de paiement pour chaque victime de malware. C'est étrange parce que les pros créent une adresse personnalisée pour chacune de leurs victimes. Deuxièmement, le programme demande à ses victimes de communiquer directement avec les attaquants via une adresse e-mail spécifique, qui a été immédiatement suspendue lorsqu'il a été découvert que l'adresse e-mail était utilisée pour les victimes de "Petya". Cela signifie que même si une personne paie la rançon de 300 $, elle ne peut pas communiquer avec les attaquants, et de plus, elle ne peut pas accéder à la clé de décryptage pour déverrouiller l'ordinateur ou ses fichiers.
Qui sont les attaquants, alors?
Les experts en cybersécurité ne croient pas qu'un cybercriminel professionnel soit derrière le malware "Petya", alors qui est? Personne ne sait à ce stade, mais il est probable que la personne ou les personnes qui l'ont libéré voulaient que le logiciel malveillant ressemble à un simple ransomware, mais au contraire, il est beaucoup plus destructeur qu'un rançongiciel typique. Un chercheur en sécurité, Nicolas Weaver, estime que "Petya" est une attaque malveillante, destructrice et délibérée. Un autre chercheur, qui va par Grugq, croit que l'original "Petya" faisait partie d'une organisation criminelle pour gagner de l'argent, mais ce "Petya" ne fait pas la même chose. Ils conviennent tous les deux que le malware a été conçu pour se propager rapidement et causer beaucoup de dommages.
Comme nous l'avons mentionné, l'Ukraine a été durement touchée par "Petya", et le pays a montré du doigt la Russie. Cela n'est pas surprenant si l'on considère que l'Ukraine a également blâmé la Russie pour un certain nombre de cyberattaques. L'une de ces cyberattaques s'est produite en 2015 et visait le réseau électrique ukrainien. Il a finalement fini par laisser temporairement des parties de l'Ukraine occidentale sans aucun pouvoir. La Russie, cependant, a nié toute implication dans les cyberattaques sur l'Ukraine.
Que devriez-vous faire si vous croyez que vous êtes une victime de Ransomware?
Pensez-vous que vous pourriez être la victime d'une attaque de ransomware? Cette attaque particulière infecte un ordinateur et attend environ une heure avant que l'ordinateur ne redémarre spontanément. Si cela se produit, essayez immédiatement d'éteindre l'ordinateur. Cela peut empêcher les fichiers sur l'ordinateur d'être cryptés. À ce stade, vous pouvez essayer de retirer les fichiers de la machine.
Si l'ordinateur termine le redémarrage et qu'une rançon n'apparaît pas, ne le payez pas. Rappelez-vous, l'adresse e-mail utilisée pour collecter des informations auprès des victimes et pour envoyer la clé est fermée. Donc, à la place, déconnectez le PC de l'Internet et du réseau, reformatez le disque dur, puis utilisez une sauvegarde pour réinstaller les fichiers. Assurez-vous de toujours sauvegarder vos fichiers régulièrement et de toujours mettre à jour votre logiciel antivirus.