Les leçons de Wannacry sont à peine tirées et pas encore appliquées partout que Petya/ NotPetya apparaît. Ce nouveau ransomware a d’abord nommé « Petya », en pensant qu’il s’agissait d’une variante de la famille Petya. Puis, les chercheurs ont déterminé qu’ils ne sont pas liés et l’ont renommé NotPetya. Similaire au logiciel malveillant WannaCry, il s’est rapidement répandu depuis le 27 juin 2017 et a affecté diverses organisations en Europe et aux États-Unis. Des dizaines de milliers de PC auraient été touchés sur le territoire français.
Un mois et demi après la cyberattaque Wannacy, le même mal provoque donc, et c’est normal, les mêmes conséquences ! Alors que tous les experts ont annoncé la recrudescence de ce type d’attaque, les entreprises n’auraient toujours pas procédé aux mises à jour… L’inventaire exhaustif de toutes les machines connectées de l’entreprise n’est pas toujours fait. Pourtant, un seul ordinateur oublié (et donc mal protégé) suffit pour que le malware se propage. Par ailleurs, il ne faut oublier qu’à l’échelle d’une grande entreprise, opérer les mises à jour prend du temps car il faut traiter de très nombreux ordinateurs et les équipes de sécurité, par manque de ressources et d’effectifs, peinent à installer rapidement le correctif et opérer tous les tests. Enfin, les systèmes industriels connectés dépendent dans leur gestion de la direction de l’usine et non de la direction informatique. Les mettre à jour signifie arrêter la production pendant plusieurs heures, et les choix sont difficiles pour les responsables de fabrication. En place parfois depuis de plus de 20 ans, ces systèmes sont aussi les plus vulnérables aux menaces en raison de l’obsolescence de leurs applications ou de leurs OS.
Comment réduire l’impact de NotPetya ?
Le rançongiciel NotPetya prend en otage des données qu’il chiffre et qui seront restituées contre une rançon. Il faut bien comprendre qu’aucun outil – pas même le SIEM qui opère a posteriori – ne peut empêcher ou éradiquer une demande de rançon. Sensibiliser les utilisateurs, mettre à jour les protections et utiliser un SIEM performant est sans conteste la meilleure façon d’éviter les dommages. Lorsqu’on est confronté à un ransomware comme NotPetya, le temps passé à sa détection est capital. Plus l’activité du rançongiciel dure, plus l’impact est grand et plus il est coûteux de revenir à la situation normale pour l’entreprise. Aujourd’hui, plusieurs jours après l’attaque NotPetya, les entreprises travaillent encore à récupérer leur système informatique.
Le SIEM est conçu pour collecter les logs dans le but d’effectuer des recherches sur des événements qui se sont produits. Une implémentation bien configurée du SIEM, avec des règles précises et adaptées au contexte de l’entreprise, permet de détecter un ransomware dans des temps extrêmement courts et d’intervenir en quasi temps réel. Par voie de conséquence, les coûts de retour à la situation normale se trouvent réduits.
Etablir des règles
C’est la seule façon d’élaborer des conjectures valables pour déterminer si le comportement observé est normal ou anormal. En cas de ransomware, les règles d’utilisation des fichiers servent à identifier rapidement tout pic concernant la création, le renommage ou la suppression de fichiers par un utilisateur ou un processus spécifique. En fonction des données de log disponibles, le nom de l’utilisateur et l’adresse ip source sont rapidement identifiés de même que tous les fichiers concernés.
Examen du ransomware NotPetya
NotPetya n’exige pas d’exploiter la vulnérabilité EternalBlue SMB pour pouvoir se propager dans les systèmes sur un réseau. Un hôte infecté permettra au ransomware de se propager dans tous les systèmes connectés, à condition que le système infecté possède des informations d’identification SMB. Donc, contrairement à WannaCry, le patch SMB et la désactivation de SMBv1 n’empêcheront pas la propagation.
Détection de la compromission
L’administrateur SIEM peut rechercher différents indicateurs de compromission.
- Vérifier l’intégrité du fichier. Les indicateurs de compromission possibles sont les valeurs de hachage listées ci-dessous :
- 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
- 9717cfdc2d023812dbc84a941674eb23a2a8ef06
- 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
- 56c03d8e43f50568741704aee482704a4f5005ad
- Si le logging de ligne de commande est disponible, vérifier les différentes commandes listées ci-dessous :
- Tâche de redémarrage programmée : Petya planifie un redémarrage
- schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST <time>
- exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST <time>
- Cela peut être recherché en examinant event_id=106 and event source=Task Scheduler Service
- Lateral Movement (Remote WMI): Process call create
- \”C:\\Windows\\System32\\rundll32.exe\\\”C:\\Windows\\perfc.dat\\\” #1
- La compromission éventuelle du réseau peut être détectée en examinant les serveurs et les stations de travail en scannant les ports tcp 139 et 445
- Analyse de vulnérabilité : les exploits EternalBlue (vulnérabilité MS17-010) sont toujours applicables et cela peut constituer un indicateur de compromission.
Exemple de tableau de bord montrant les 10 principaux hôtes affectés et les fichiers compromis
Des interrogations sur l’origine de NotPeya
Selon différentes sources NotPetya n’est peut-être pas celui que l’on croit ! Le ransomware aurait moins rapporté que Wannacry et il est possible que les pirates poursuivent d’autres objectifs. Ce ransomware est-il un écran de fumée, un leurre qui masquerait une cyberattaque politique ? Quoi qu’il en soit, le rançongiciel s’est répandu dans le monde entier, paralysant de grandes entreprises et impliquant la mise au chômage technique d’un grand nombre de salariés. Les coûts induits sont énormes et rien n’est plus important que de détecter ce type d’intrusion malveillante aussi vite que possible, avec un SIEM efficace produisant les alertes et rapports dans des temps très courts.
Par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint