Administrateur Réseau

Qu'est-ce que NotPetya Ransomware et comment s'en protéger ?

Qu



Le rançongiciel NotPetya est l'un des plus connuscampagnes d'attaque de virusdans l'histoire. Le système a été utilisé pour causer des ravages dans des nations entières, affaiblissant ces pays et les rendant vulnérables aux attaques.

C'est une erreur courante d'étiqueter le ransomware NotPetya. Le système n’a jamais été conçu pour générer des revenus. Il ne dispose pas de mécanisme pour restaurer un système attaqué, ce qui en fait un essuie-glace.



Le contrôleur de NotPetya était le renseignement militaire russe,le GRU. Le système a été utilisé comme mécanisme d’attaque avancé et a été activé contre l’Ukraine en 2017.

Contenu [ cacher ]



Qu’est-ce qu’un ransomware ?

Les ransomwares sont une catégorie de virus informatiques . Le but de ce système est de désactiver un ordinateur de manière réversible. Ensuite, la victime se voit proposer une solution pour restaurer l'ordinateur dans son état d'origine contre paiement. C’est ainsi que les créateurs de ransomwares gagnent des revenus.

Une fonction essentielle des ransomwares est que le pirate informatique doit rester anonyme. La création de Bitcoin a permis aux pirates d'extorquer des paiements sans être retrouvés. Bien qu’il existe désormais de nombreuses crypto-monnaies disponibles, le Bitcoin reste la plus connue et la devise la plus fréquemment utilisée par les pirates informatiques ransomwares.

Les ransomwares peuvent mettre en œuvre plusieurs actions. Cela peut être verrouiller l'écran ou cryptage de fichiers afin qu'ils ne soient pas accessibles. Comme les ransomwares visent à soutirer de l’argent à la victime, un arrêt complet de l’ordinateur n’est pas une bonne idée, c’est pourquoi les systèmes de verrouillage d’écran ne sont pas si courants. Les ransomwares de chiffrement peuvent être adaptés de manière à ce que l'ordinateur fonctionne toujours . Ceci est important car il est plus facile d’obtenir un paiement de la part de personnes qui se trouvent encore sur l’ordinateur infecté. Si l’utilisateur est obligé de passer à un autre appareil, maintenir le contact n’est pas si simple.

Les systèmes de distribution de ransomwares peuvent être utilisés à d’autres fins pour améliorer rentabilité de l'attaque. Il faut beaucoup de travail pour qu’un package de ransomware fonctionnel soit opérationnel. Ces systèmes nécessitent une série de modules, dont le développement ou l'achat coûtent tous de l'argent. Le taux de réussite des attaques de ransomwares sont faibles en raison des systèmes de cybersécurité et de la sensibilisation du public aux méthodes typiques d’intrusion des logiciels malveillants. Par conséquent, cela peut prendre beaucoup de travail juste pour arriver à infecter un ordinateur. La possibilité de charger d'autres logiciels malveillants pendant que le système de diffusion est actif contribue au recouvrement des coûts.

La création de NotPetya

Le nom NotPetya n’a pas été donné à ce système d’attaque par ses créateurs. Il s’agit plutôt d’un nom attribué au virus par les analystes de la cybersécurité. NotPetya est apparu pour la première fois en juin 2017. Les analystes pensaient avoir reconnu le programme comme une variante d'un système de ransomware appelé Petya.

Le Petya original a été lancé en mars 2016 et a été affiné trois fois au cours de sa courte vie. Premièrement, le groupe de hackers qui a créé et géré Petya l'a proposé à d'autres personnes moyennant des frais dans un cadre Ransomware en tant que service boîte à outils. Ce groupe de hackers s'appelait Solutions de cybercriminalité Janus , qui était basée en Russie. Deuxièmement, le groupe a fermé Petya, alors connue sous le nom de Goldeneye, fin 2016.

Vers début 2017, le GRU , l’agence de renseignement militaire russe, cherchait des outils à utiliser dans son « guerre hybride ' des plans. Cette stratégie militaire utilise des cyberattaques pour affaiblir un adversaire, le rendant ainsi plus facile à vaincre avant de déployer un équipement militaire. Un petit investissement dans les cyberattaques coûte bien moins cher que des chars, des armes et la formation du personnel.

Le GRU a chargé le groupe de hackers lié à l'État, Ver des sables . Avec un court temps de production disponible, Sandworm a décidé de voler le code à quelqu'un d'autre plutôt que de développer son système. Il a choisi le système Goldeneye, également connu sous le nom de Petya. Le package du ransomware Petya comprend deux attaques. L’un de ces systèmes, le Petya original, chiffre les structures de gestion du système de fichiers plutôt que les fichiers eux-mêmes. Cette méthode était innovante lors de la création de Petya.

Lorsque le système d'attaque Sandworm a été lancé pour la première fois, les analystes antimalware et les agences de sécurité de l'État ont immédiatement reconnu le code Petya du virus téléchargé. Cependant, comme Petya avait déjà parcouru quatre versions, les analystes ont d'abord pensé qu'il s'agissait d'une édition nouvellement développée de Petya par Janus Cybercrime Solutions.

Les analystes ont donné un nom à ce virus pour le distinguer des versions connues de Petya. Il a été appelé EternalPetya par certains analystes et ExPetya par d'autres. Kaspersky Labs a proposé le nom NotPetya lorsque ses recherches ont révélé que ce système n'était pas produit par Janus Cybercrime Solutions et qu'il s'agissait d'un virus différent.

Similitudes avec Petya

Pour un analyste, NotPetya est un dérivé de Petya. Le ransomware Petya pénètre dans un système via un fichier PDF ou XLS infecté contenant le code d'installation. Ce fichier est livré en pièce jointe à un e-mail de phishing.

Petya chiffre d'abord tous les fichiers de l'appareil infecté dont l'extension figure sur une liste de résultats. Il s'agit d'un module flexible car la liste des types de fichiers à attaquer peut être facilement modifiée. Une fois les types de fichiers répertoriés sur l’appareil chiffrés, une attaque de bas niveau est lancée. Il s'agit du processus principal de Petya, et il écrase le Enregistrement de démarrage principal (MBR) puis crypte le Table de fichiers maîtres (MFT) . C'est le cryptage du MFT qui rend tous les fichiers inaccessibles. Petya attend une heure après l’infection initiale avant de déclencher les attaques de bas niveau.

Le cryptage des fichiers individuels effectué par le Micha processus d'utilisation de Petya RSA et AES chiffrements, et le chiffrement MFT est effectué avec le Salsa20 chiffrer.

Toutes les activités ci-dessus sont intégrées à NotPetya, tirées directement du code Petya.

Particularités de NotPetya

La caractéristique la plus frappante du ransomware NotPetya est qu’il ne s’agit pas d’un ransomware. Les développeurs n'avaient pas l'intention de livrer un jour une clé de décryptage . Petya génère une nouvelle clé de cryptage pour chaque attaque au sein des processus du programme ransomware téléchargé. Il génère simultanément un identifiant unique pour chaque infection. Lorsque la victime souhaite payer, cet identifiant doit être saisi sur le site de paiement et permet d'extraire d'une base de données la clé de déchiffrement de cette attaque. Ver des sables supprimé cette routine du code ; cela signifie qu'il y a certainement pas pour que le système NotPetya délivre une clé de déchiffrement.

Une différence avec Petya est l'emballage ou système de livraison utilisé pour NotPetya. C'est le Bleu éternel système, qui exploite une faille dans le système d'exploitation Windows qui implique le Bloc de messages du serveur (SMB) . Cette méthode de communication sur les réseaux locaux et NotPetya utilisent ce système pour se propager à d'autres ordinateurs. C'est la raison pour laquelle certains analystes ont appelé NotPetya ÉternelPetya .

Le lancement de NotPetya

Comme il rend définitivement inopérants le secteur de démarrage et le système de gestion de fichiers d'un ordinateur, NotPetya est un ' essuie-glace » et non un ransomware. Une fois la campagne d'attaque NotPetya lancée en juin 2017, Janus Cybercrime Solutions a proposé d'aider à trouver une stratégie de remédiation au virus, indiquant clairement qu'elle n'était pas responsable. Malheureusement, le groupe a publié la clé principale de Petya, que personne n'a pu faire pour inverser le cryptage NotPetya.

NotPetya s'est propagé très rapidement au cours de la dernière semaine de juin 2017 dans toute l'Ukraine. Les cibles du virus comprenaient les bureaux gouvernementaux, les institutions publiques, les services publics, les supermarchés, les entreprises et les banques. Il a même infecté des ordinateurs surveillant l’état des radiations sur le site du réacteur nucléaire détruit par Tchernobyl.

La majorité de toutes les attaques NotPetya, environ 80 pourcent , a frappé des ordinateurs en Ukraine. Cependant, des entreprises en dehors de l’Ukraine ont également été touchées, probablement pour dissimuler le véritable objectif du virus. Ces entreprises comprennent Rosneft en Russie et compagnie maritime danoise Maersk . En outre, des attaques ont eu lieu aux États-Unis, au Royaume-Uni, en Allemagne, en France et en Pologne. Cependant, nulle part ailleurs la campagne d’attaque n’a été aussi intense qu’en Ukraine.

Le système NotPetya impose une demande de paiement en Bitcoin d'une valeur d'environ 300 $. Cependant, il ne délivre jamais de clé de déchiffrement. De plus, l'adresse e-mail indiquée pour le contact à récupérer était défunt . Par conséquent, NotPetya se fait passer pour un ransomware.

La meilleure défense contre NotPetya

Le Exploit PME a été fermé par Microsoft. La société a publié un correctif pour protéger les copies existantes de Windows, et toutes les livraisons de Windows depuis la découverte d'EternalBlue sont protégées contre ce correctif. Donc, si vous avez acheté un ordinateur avec le les fenêtres système d'exploitation en 2017, vous n'avez pas à vous soucier du mouvement latéral de NotPetya.

Le ransomware NotPetya ne circule plus et tout antivirus que vous pouvez acheter de nos jours le détectera et le bloquera dès qu'il tentera de se télécharger sur votre ordinateur. Bien que NotPetya ne constitue plus une menace, ses commissaires et créateurs sont toujours en activité et développent toujours des méthodes destructrices. cyber guerre des outils pour déstabiliser le monde. Quelques groupes de hackers sont soutenus par des gouvernements hostiles et font évoluer constamment les ransomwares et autres logiciels malveillants.

Il est essentiel de sensibiliser les utilisateurs à e-mails de phishing et expliquez-leur de ne pas télécharger de pièces jointes ou de suivre des liens dans les e-mails. Il est également nécessaire d'exécuter un gestionnaire de correctifs, un gestionnaire de vulnérabilités et un gestionnaire de configuration pour maintenir votre système à jour et protégé contre les activités des pirates.

Il va sans dire que vous devez mettre en place des procédures sécurisées de sauvegarde des données et installer des systèmes antivirus sur vos points finaux.

Les meilleurs outils de défense contre le ransomware NotPetya

Le ordinateurs de bureau et appareils mobiles connectés à votre réseau sont les principaux points d’entrée des ransomwares. Par conséquent, vous devez vous assurer que chaque appareil dispose d’un système antivirus opérationnel installé. Cet antivirus doit faire face à tout événement de sécurité qui pourrait survenir, et pas seulement aux virus et systèmes de ransomware déjà connus. Voici deux excellents packages de sécurité système que vous devriez considérer.

1. CrowdStrike Falcon Insight (ESSAI GRATUIT)

Aperçu du faucon CrowdStrike

Aperçu du faucon CrowdStrike est un ensemble coordonné de services antivirus et de détection des menaces de nouvelle génération. Le système est contrôlé par un système de détection des menaces basé sur le cloud en partenariat avec CrowdStrike Faucon Empêcher installé sur tous les points finaux d’un réseau.

Falcon Prevent garantit que la protection continue même si les appareils sont déconnectés du réseau. Le module central Insight rassemble renseignements sur les menaces et recherche dans les rapports d'état téléchargés par les instances Falcon Prevent.

Le système Falcon peut détecter les logiciels malveillants, comme le ransomware NotPetya, même si ce virus n'a jamais été rencontré auparavant. C'est parce que l'AV recherche comportement étrange plutôt que des fichiers spécifiques. La console centrale permet à l'administrateur système de configurer réponses automatisées aux menaces, telles que l'isolement de l'appareil du réseau et la fermeture d'un compte utilisateur.

En obtenant des flux d'informations sur l'activité de tous les points finaux, le système Falcon peut protéger le réseau et identifier les menaces et intrusions internes, ainsi que les virus. De plus, vous pouvez bénéficier d’un essai gratuit de 15 jours de Falcon Prevent.

CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours

deux. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus est conçu pour protéger les données sensibles et tous les fichiers de données professionnelles. Cela signifie qu’il s’agit d’une option parfaite pour se protéger contre les ransomwares, qui visent à corrompre tous ces fichiers. Les mesures de confidentialité des données contenues dans ce package conviennent aux entreprises qui suivent les PCI DSS , HIPAA , et RGPD normes. Le système comprend également un service de découverte de données et un classificateur de données sensibles.

Le système DataSecurity Plus protège les ordinateurs exécutant les fenêtres , qui sont tous des cibles de logiciels malveillants comme le ransomware Petya. Il s'agit d'un progiciel sur site qui s'installe sur Serveur Windows .

L'une des fonctionnalités essentielles du package DataSecurity Plus est un moniteur d'intégrité des fichiers (FIM). Cela détecte les modifications non autorisées des fichiers, déclenchant des alertes. De plus, le système peut être configuré pour mettre en œuvre des réponses automatisées lors d'une modification de n'importe quel fichier.

DataSecurity Plus est disponible pour un 30 jours d'essai gratuit .

^