Depuis hier, une vaste attaque de ransomware touche de nombreuses entreprises dans le monde. Inspiré du malware Petya, il se répand via divers mécanismes, dont la faille SMB déjà utilisée par WannaCrypt. On en sait désormais davantage sur son fonctionnement, mais les conseils pour se protéger n’ont pas changé.
L’attaque de WannaCrypt a pu fonctionner parce que les machines des victimes ne possédaient pas une précieuse mise à jour déployée par Microsoft deux mois plus tôt. Estampillée MS17-010, elle corrigeait la vulnérabilité nommée EternalBlue, trouvée dans les outils de la NSA et dont les détails avaient été dérobés par le groupe de pirates Shadow Brokers.
La nouvelle attaque peut utiliser la même faille, entrainant de nombreux parallèles avec WannaCrypt, mais elle s’appuie surtout sur d’autres moyens. Au cœur de la menace, on trouve le ransomware Petrwrap, que d'autres appellent également NotPetya, Petna ou encore SortaPetya. Il est inspiré en effet du malware Petya mais dispose de caractéristiques propres. Réclamant l’équivalent de 300 dollars en bitcoins, ses rançons ne peuvent déjà plus être payées, le compte email utilisé par le ou les pirates ayant été fermé. Explications.
Ordinary decent ransomware
Petrwrap est un ransomware assez classique finalement. Pour la victime, il se présente comme une fausse version de chkdsk, l’outil de vérification de l’intégrité des données présent dans Windows. Le pourcentage qui avance ne représente toutefois pas la validation de la structure des informations, mais bien l’avancement du chiffrement des données.
Comme indiqué, le principal vecteur d’infection est la faille EternalBlue dans SMBv1, via un exploit modifié. Ce n’est toutefois pas le seul, Petrwrap pouvant profiter d’une autre brèche corrigée en mars par Microsoft et surnommée EternalRomance, elle aussi exploitant le port 445. Autre possibilité, cibler le processus de mise à jour d’un logiciel ukrainien nommé MeDoc. C’est d’ailleurs dans ce pays que l’attaque a commencé, avant de se répandre (nous y reviendrons).
Comme Kaspersky et BleepingComputer l’indiquent notamment, Petya/Petrwrap possède un outil spécifique capable de récupérer des identifiants de comptes utilisateurs. C’est l’un des plus gros dangers de l’attaque : quel que soit le vecteur d’infection, si le ransomware contamine ne serait-ce qu’une machine disposant de droits administrateurs, la contamination pourra s’étendre à d’autres ordinateurs du réseau, via WMI ou PsExec. Tous les Windows de XP à 10 sont potentiellement concernés, ainsi que les versions Server. Notez que le malware possède une fausse signature électronique Microsoft.
Le vrai déclenchement du ransomware ne se fait qu’après redémarrage de la machine infectée, qui intervient entre 10 et 60 minutes selon le contexte. Durant cette étape, il commence immédiatement à chiffrer la MFT (Master File Table), élément crucial d’une partition NTFS puisqu’il contient, sous forme de base de données, la liste complète des fichiers présents dans la partition. Le MBR (Master Boot Record) est de son côté remplacé par un composant personnalisé, chargé d’afficher les explications sur la situation et la manière de payer.
Les données visées sont les mêmes que pour beaucoup d’autres ransomwares. On retrouve ainsi la même soixantaine de types qu’habituellement, avec les photos, vidéos, documents Office, PDF, archives Zip et RAR, et ainsi de suite.
Un chiffrement solide, mais un « vaccin » à placer sur le disque
Contrairement à WannaCrypt, les analyses n’ont pour le moment pas révélé de faille particulière dans le chiffrement des données. Le ransomware se sert d’une clé AES-128 pour cette opération, elle-même chiffrée avec la clé RSA-2048 publique des pirates, avant d’être entreposée dans un fichier texte README.
Cependant, il existe finalement un moyen assez simple de se prémunir contre l’infection du malware. Si aucun kill switch n’a été détecté (moyen d’arrêter d’une traite tout ou partie des infections), il est possible de « vacciner » la machine par l’ajout d’un fichier sur son disque système.
Le chercheur Amit Serper, de chez Cybereason, a été le premier à découvrir le procédé, plus tard confirmé par d’autres, notamment PT Security et TrustedSec. Il s’est ainsi rendu compte que le ransomware cherchait un fichier local qui, s’il est présent, l’empêche de fonctionner.
Il suffit donc de créer des fichiers perfc, perfc.dat et perfc.dll (via le Bloc-notes) et les entreposer dans le dossier Windows du disque système, puis de leur donner le statut « lecture seule ». Notez que Windows doit être configuré pour toujours afficher les extensions des fichiers et cette solution n’est valable que pour la version en cours du malware. BleepingComputer a d’ailleurs créé un fichier BAT automatisant la procédure.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27 juin 2017
Impossible de payer la rançon
Comme dans toute attaque par ransomware, la consigne officielle est de ne jamais payer. Qu’il s’agisse du CERT français (ANSSI), de la police nationale ou de la gendarmerie, le mot d’ordre est à ce sujet toujours le même.
Dans le cas présent, la somme demandée était d’environ 300 dollars en bitcoins. Pour vérifier que les paiements étaient effectués, les pirates utilisaient l’adresse email « wowsmith123456@posteo.net ». Cependant, le prestataire allemand Posteo a décidé de fermer le compte. Il n’est donc plus possible de payer la rançon, ce qui peut être une gêne pour ceux qui avaient quand même décidé de donner l’argent.
La conséquence la plus directe est qu’il n’existe actuellement plus aucun moyen de déchiffrer les données, que ce soit en se soumettant aux injonctions des pirates ou via un éventuel outil tiers. Posteo a indiqué de son côté qu’il s’agissait d’une procédure normale et que le compte avait été fermé dès que ses techniciens avaient repéré qu’il était utilisé par un ransomware, mais avant de découvrir qu’elle faisait partie d’une attaque mondiale.
Une très longue liste de victimes
L’actuelle vague de contaminations est partie pour être plus conséquente que celle de WannaCrypt car le nombre de victimes est déjà très important. L’attaque est partie d’Ukraine mais est rapidement sortie des frontières du pays pour frapper un peu partout, notamment dans le reste de l’Europe (dont la France), en Russie et aux États-Unis.
En Ukraine – décidément un vaste terrain de jeu pour les concepteurs de malware – les structures touchées sont nombreuses et importantes. La banque centrale, le principal opérateur télécom, le métro et l’aéroport de Kiev sont ainsi concernés, provoquant de vastes problèmes, tout comme les magasins Auchan locaux. Ukrenergo, qui avait déjà été impacté par BlackEnergy en décembre 2015, a encore été frappé, mais cette fois sans que la production électrique soit ralentie ou stoppée. Distributeurs de billets, terminaux de vente et même les détecteurs automatiques de radiation à Tchernobyl sont concernés, obligeant les agents sur place à basculer sur des détections manuelles.
#Breaking: Supermarket in Kharkiv, east Ukraine - all payment terminals look to have been hit by the #Petya #ransomeware pic.twitter.com/e1nUHNkVwg
— Ryan Clapham (@NewsReport365) 27 juin 2017
Sur le plan international, les cibles sont particulièrement variées. Au Danemark par exemple, la société de fret Maersk est ainsi impactée – affectant d’ailleurs le plus grand port de marchandises d’Inde – tout comme l’entreprise pétrolière russe Rosneft. Aux États-Unis, les laboratoires pharmaceutiques Merck, un hôpital de Pittsburg (provoquant la colère d'Edward Snowden) ou encore les bureaux du cabinet juridique DLA Piper sont eux aussi concernés.
En France, Saint-Gobain est touché. L’entreprise a confirmé notamment que son système de traitement des emails était en panne. Une partie de son parc informatique a été isolé et le problème serait en cours de résolution. La SNCF a indiqué subir l’attaque, sans pour autant que son parc soit contaminé. BNP Paribas et Verallia (emballages alimentaires en verre) ont également été touchées, mais sans conséquence sur le système bancaire ou la production. Une enquête a été ouverte au parquet de Paris.
Signalons en outre le cas du centre de tri TNT/FedEx à Bierset, en Belgique.
Une infection contrôlable parce que lente
En dépit des apparences, l’expansion de la contamination est assez lente. On ne sait pas encore exactement comment elle a commencé. Selon les cas, certains évoquent l’attaque contre MeDoc, d’autres l’utilisation du phishing.
Le profil de l’attaque entraine une large couverture médiatique car de très nombreuses entreprises sont touchées un peu partout. Pour autant, la dissémination du ransomware reste lente, car Petya/Petrwrap a une différence notable par rapport à WannaCrypt : il ne comporte pas de scanner IP. Il se déploie presque exclusivement à travers les réseaux locaux, via SMB et les mécanismes mentionnés plus haut.
You are correct. Here you go, this is not my work. #Petya #NotPetya #CISO #CSO pic.twitter.com/dRnzZK1FVu
— John Lockie (@thedefensedude) 27 juin 2017
On ne sait par ailleurs pas encore qui se cache derrière l’attaque. Les groupes de pirates ne revendiquent que rarement les faits. Dans le cas de WannaCrypt, certaines analyses laissent à penser que le groupe nord-coréen Lazarus en serait à l’origine, à cause de similitudes importantes avec certaines attaques antérieures.
Dans tous les cas, Petya/Petrwrap montre encore une fois que la prolifération des malwares se fait principalement sur le terreau très fertile du manque d’hygiène informatique. L’installation des mises à jour de sécurité reste la règle essentielle, martelée ad nauseam par l’ensemble des agences de sécurité, y compris l’ANSSI. Bien qu’essentielle, elle n’est toutefois pas la seule.
Plusieurs autres règles sont tout aussi importantes. En premier lieu, désactiver tous les composants n’étant pas utilisés dans une structure et désinstaller les logiciels ne servant pas (ici, surtout PsExec et SMBv1). Moins il y a de code sur une machine, moins la surface d’attaque est importante. Dans le cas présent, la gestion des identifiants est également primordiale : les entreprises doivent réduire au strict minimum le nombre d’utilisateurs disposant de privilèges élevés sur un parc informatique.
La sauvegarde des données reste essentielle
Enfin, toute entreprise devrait avoir mis en place une solution de sauvegarde locale, ne passant donc pas dans le cloud. La synchronisation distante des données ne serait d’aucune aide, puisque la modification des fichiers par le chiffrement serait répercutée dans le stockage distant. Ils doivent être placés sur un support tel qu’un DVD, un Blu-ray, une bande magnétique ou n’importe quel mécanisme allant dans un seul sens. Idem pour un NAS dont les opérations de copie seraient faites manuellement ou à intervalles pouvant être interrompus.
Notez que la sensibilisation du personnel à la gestion des emails peut revêtir une grande importance. Une bonne partie des campagnes de ransomwares commencent par du phishing, voire du spear phishing, donc des emails calibrés pour sembler authentiques. La règle du contrôle de l’expéditeur et de la méfiance des liens et pièces jointes restera toujours applicable.
