Un nouveau malware bloque des ordinateurs dans le monde entier

29 Juin, 2017, 03:53 | Auteur: Lynn Cook
  • Plusieurs grandes entreprises dont la société française Saint-Gobain touchées par une cyberattaque mondialePlus

Non seulement cela, mais les chercheurs en cybersécurité de Microsoft disent que le ransomware a de multiples techniques secondaires pour se propager, en utilisant par exemple des fichiers partagés pour transférer les logiciels malveillants à travers un réseau.

En mai 2017 le monde découvrait la plus grosse attaque par ransomware jamais lancée: WannaCry. L'attaque a fait d'important dégâts principalement en Russie et en Ukraine (dont le système de contrôle de la centrale accidentée de Tchernobyl), mais aussi en Pologne, en Italie, au Royaume-Uni, en Allemagne, aux Etats-Uniset en France.

Face à cette cyberattaque, qualifiée de "sans précédent" par le secrétaire d'Etat français au Numérique Mounir Mahjoubi et par le Premier ministre Ukrainien, le parquet de Paris a ouvert une enquête.

Cette fois-ci encore, le rançongiciel Petya (ou Petrware) exploite EternalBlue, mais semble se concentrer sur les grandes multinationales et institutions publiques, notamment transporteur danois Maersk, le pétrolier russe Rosneft et l'entreprise pharmaceutique américain Merck. Pour son concurrent roumain Bitdefender, il s'agirait plutôt d'un "ransomware" de la famille GeldenEye, une version améliorée de Petya également déjà utilisée par le passé.

En attendant notre analyse détaillée de cette campagne, vous pourrez retrouver les recommandations publiées par l'ANSSI.

Les différents analystes de sécurité ont étudié le fonctionnement de ce petit frère de Petya. L'entreprise précise par ailleurs que le but des attaquants ne serait pas d'extorquer de l'argent, mais bien de détruire les données chiffrées. Comme WannaCry, GoldenEye infecte ensuite le réseau de l'entreprise ou de l'habitation en utilisant les failles de Windows découvertes par la NSA, dévoilées par le groupe Shadow Brokers et corrigées par Microsoft en mars, avril et juin. Contrairement à Wannacry, il n'y a pas encore de solution pour déchiffrer les fichiers. Selon les nombreux rapports en cours, ce virus a touché plusieurs entreprises en Ukraine incluant des banques, des sociétés énergétiques, de services de transports ainsi que des gouvernements. Ce ransomware semble exploiter une faille similaire à WannaCrypt (voir notre analyse), la Police nationale évoquant de son côté l'utilisation du port 445 (celui de SMB) et le fait que toutes les versions de Windows sont concernées. Selon Kaspersky, quand le malware parvient à infecter un ordinateur, il chiffre la totalité des données en s'appuyant sur les algorithmes AES 128 et RSA 2048. De même pour les futurs capteurs connectés qui peupleront les usines.

Recommande: