Petya Ransomware : Le point de vue de FireEye

Le 27 juin 2017, plusieurs organisations – notamment en Europe – ont signalé des perturbations importantes qu’elles attribuent à Petya ransomware. Sur la base des informations initiales, cette variante de la Petya ransomware peut se propager via l’exploit EternalBlue utilisé dans l’attaque WannaCry du mois dernier.

Les sources fiables et les rapports open source ont suggéré que le vecteur d’infection initial pour cette campagne était une mise à jour qui avait été corrompu pour la suite de logiciels MeDoc, un progiciel utilisé par de nombreuses organisations ukrainiennes. Le calendrier d’une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l’attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d’environ 12h12 UTC. En outre, le site MeDoc affiche actuellement un message d’avertissement en russe indiquant: « Sur nos serveurs se produit une attaque de virus. Nous nous excusons pour les inconvénients temporaires! »

Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu’une version modifiée de l’exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d’autres systèmes. L’analyse des artefacts associés à cette campagne est toujours en cours.

FireEye a confirmé les deux exemples suivants liés à cette attaque:

  • 71b6a493388e7d0b40c83ce903bc6b04
  • E285b6ce047015943e685e6638bd837e

FireEye a mobilisé un événement de protection communautaire et continue d’enquêter sur ces rapports et l’activité de menace impliquée dans ces incidents perturbateurs. FireEye en tant que service (FaaS) s’engage activement dans le suivi des environnements clients.
Alors que la détection de FireEye s’appuie sur l’analyse comportementale des techniques malveillantes, notre équipe a créé une règle YARA pour aider les entreprises à rechercher de façon rétroactive leurs environnements pour ce malware, ainsi qu’à détecter les activités futures. Notre équipe s’est concentrée sur les techniques d’attaquants malveillants qui sont essentielles au fonctionnement du logiciel malveillant: l’utilisation du lecteur SMB, le langage de demande de rançon, les fonctions sous-jacentes et les API, et les utilitaires systèmes utilisés pour le mouvement latéral.

Contexte supplémentaire :

FireEye continue d’enquêter sur les rapports d’activités de menace impliquées dans ces incidents perturbateurs. Sur la base de notre analyse initiale, le ransomware utilisé dans cette campagne imite Petya de certaines façons et la page de redémarrage MBR est identique. Cependant, il existe des changements notables pour inclure le mécanisme de propagation et un délai d’heure pour le cryptage des fichiers, ce qui peut être destiné à permettre la propagation. Nous croyons qu’un vecteur d’infection utilisé dans cette campagne était le logiciel M.E.Doc, qui aurait été utilisé aux fins de la comptabilité fiscale en Ukraine. En outre, les charges utiles associées à la campagne présentent un comportement d’auto-propagation. En outre, il est possible que d’autres vecteurs d’infection initiaux soient également impliqués. Cette activité met en évidence l’importance des organisations qui sécurisent leurs systèmes contre les infections EternalBlue exploit et ransomware.

Nous avons détecté ces attaques sur des organisations situées dans les pays suivants: Australie, États-Unis, Pologne, Pays-Bas, Norvège, Russie, Ukraine, Inde, Danemark et Espagne. (Notez que ces documents n’ont pas été extraits de sources ouvertes, comme des rapports d’actualité).

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?