Un mois après l’attaque au ransomware WannaCrypt, une nouvelle vague mondiale a touché plusieurs entreprises et administrations de différents pays. L’Ukraine est particulièrement touchée par ce qui semble être, selon des experts en sécurité informatique, une variante du ransomware Petya.
Les premiers cas signalés sont partis d’Ukraine, un pays particulièrement touché puisque le métro, l’aéroport de Kiev, la banque centrale ou encore l’opérateur national d’énergie sont concernés.
Mais l’attaque touche aussi d’autres pays et entreprises, comme le géant français des matériaux Saint-Gobain, la multinationale américaine de l’agroalimentaire Mondelez, l’agence publicitaire britannique WPP, le producteur de pétrole russe Rosneft, l’armateur danois Maersk, qui a reconnu, dans un tweet, subir une cyberattaque.
Le mode opératoire est connu : une fois installé dans le PC, le logiciel malveillant prend les données en otage et exige le versement d’une certaine somme (300 $ en bitcoin) pour « libérer » les informations.
La propagation et la manière dont Petya infecte les PC ressemblent beaucoup à ce qu’on a connu il y a quelques mois avec WannaCry. Selon les experts, alors que WannaCry ciblait des fichiers rendant l’ordinateur ou le système inutilisables, Petya et ses variantes comme NotPetya ou encore Petrwrap (plusieurs ont été détectées par les entreprises spécialisées dans la sécurité informatique) cibleraient l’intégralité du disque dur. Il devient donc encore plus compliqué de les éliminer du système.
Symantec a remonté les premières traces de Petya à 2016. Le ransomware exploite la faille MS17-010, que Microsoft a bouchée en urgence le 14 mars et pour cause : c’est la même vulnérabilité qui a ouvert les portes de milliers de PC à WannaCry. Cette mise à jour de sécurité se destine entre autres à Windows Vista, Windows 7/8.1 et Windows 10.
La technologie Network Intrusion Prevention (IPS) disponible dans Symantec Endpoint Protection (SEP) protège de manière proactive les clients contre les tentatives de propagation de Petya à l’aide de l’exploit Eternal Blue. La technologie de détection de comportement SONAR protège également de manière proactive contre les composants de Petya. Les produits Symantec détectent également les infections de Petya comme Ransom.Petya
Nos experts recommendent de vérifier les mis à jours de vos agents antivirus et d’appliquer les patchs publiés par Microsoft concernant les failles exploitées par cette attaque
A lire aussi dans notre dossier sécurité: