Technologies

Le ransomware Petya continue ses ravages

Le ransomware Petya continue ses ravages
Suite à l'attaque du ransomware Petya, l'ANSSI déconseille fortement de payer les rançons.

La dernière vague de ransomware, perpétrée à l'aide du virus Petya a encore fait des dégâts en France, touchant notamment BNP Paribas, Saint-Gobain, Auchan ou encore Verailla. Pour l'instant, les hackers auraient seulement récolté 10 000 $ d'après Check Point mais il ne faut pas oublier que l'attaque est toujours en cours.

Publicité« Toutes les versions de Windows semblent pouvoir être affectées dans la mesure où des outils d'administration classiques sont utilisés pour la latéralisation. Les serveurs ainsi que les postes de travail font donc partie du périmètre d'infection possible » : les premières conclusions de l'Anssi suite à la dernière attaque de ransomware, celle de Petya, sont sans équivoque et appellent à la plus grande prudence. Débutée en Ukraine et en Europe du Nord, l'infection s'est rapidement répandue sur l'ensemble de l'Europe et ensuite du monde en exploitant la même faille du protocole SMB de Windows (XP, 8 et Server 2003) utilisée par WannaCry il y a deux semaines, mais aussi en utilisant les logins et mots de passe récupérés dans les machines affectées. Fireye arrive au même conclusion en indiquant que «l'analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes ».

En France, les principales entreprises à avoir été touchées sont Saint-Gobain, une filiale immobilière de BNP Paribas et le fabricant d'emballage en verre Verailla dont la capacité de production n'a pas été impactée. La SNCF a également été pointée du doigt mais Guillaume Pepy, son PDG, a démenti l'information ce jeudi matin. Quant à Auchan, annoncé comme une des principales victimes françaises, seuls les systèmes de caisse de ses magasins ukrainiens ont été touchés.

Les petites entreprises également concernées

L'impact de cette attaque sur la productivité des entreprises semble moins important que WannaCry qui avait immobilisé plusieurs usines, dont une de Renault. Si plusieurs équipes de Saint-Gobain sont restées au chômage technique mercredi, ses points de ventes comme Point P ont pu fonctionner presque normalement.

Toutefois, ce n'est là que la face émergée de l'iceberg. « Nous parlons surtout des grandes entreprises mais de très nombreuses PME sont souvent touchées et ne le disent pas, voire payent en espérant récupérer leurs données. Et le potentiel d'impact de ce genre d'attaques est encore énorme », nous expliquait ce matin Franck Charvet, directeur des ventes de Bit Defender qui, comme après chaque attaque, a reçu plusieurs dizaines de sollicitations d'entreprises voulant se doter d'antivirus. Petya s'est répandue en partie grâce à la même faille que WannaCry, cela veut dire que des PC n'avaient toujours pas été mis à jour. Le fait que les ordinateurs de bord du dernier porte-aéronefs de la marine britannique, le HMS Queen-Elizabeth, qui sort tout juste de chantier, tournent sous Windows XP traduit bien la différence qui existe entre les bonnes pratiques et leur application. L'Anssi le rappelle, la mise à jour MS17-010 doit absolument être faite. 

Publicité 10 000$ récoltés jusqu'à présent

En outre, F-Secure juge les hackers derrières Petya plus professionnels que ceux de WannaCry qui avaient moins ciblé leurs attaques. Ils semblent être plus efficaces dans la gestion des rançons. D'après l'éditeur, 30 entreprises avaient déjà payé mercredi, sans que l'on sache si leurs données avaient été restituées. De son côté, Check Point assure que les hackers auraient déjà récupéré près de 3 900 bitcoins, soit environ 10 000$, ce qui n'est pas énorme au regard de l'ampleur de l'attaque qui est toutefois toujours en court. Pour rappel, l'Anssi déconseille fortement de payer.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Mesurez-vous un ou plusieurs indicateurs pour suivre la performance du support IT ?