Qu’est-ce que Petya Ransomware et comment s’en protéger ?
Petia et son adaptation PasPetya a fait des ravages lors d'attaques ciblées en 2016 et 2017. Le ransomware Petya a fait la une des journaux car il représentait un nouveau développement en matière de malware.
Les entreprises de cybersécurité, telles que McAfee, Malwarebytes et Check Point, exploitent des laboratoires de recherche où les analystes étudient les nouveaux virus et en déduisent leurs créateurs. Les gouvernements nationaux disposent également de leurs agences de cyberdéfense qui effectuent des recherches similaires. Ces experts en sécurité sont arrivés à la même conclusion à propos de Petya : il s'agissait d'un acte de terrorisme d'État . Cependant, ils n’étaient pas corrects.
Contenu [ cacher ]
- Qu'est-ce qui est distinctif chez Petya ?
- D’où vient le rançongiciel Petya ?
- Que veut dire Petya ?
- Versions de Petya
- Comment fonctionne Petya Ransomware ?
- Comment faire face à une attaque du ransomware Petya
- Les meilleurs outils pour se protéger contre le ransomware Petya
Qu'est-ce qui est distinctif chez Petya ?
L’attribut le plus remarquable de Petya est que ses créateurs ne semblaient pas trop intéressés par la collecte de rançons. Un autre fait intéressant à propos de Petya est que sa version la plus célèbre était une copie détournée et non la propriété du développeur d'origine.
Cette version de Petya qui était considérée comme un outil de guerre hybride n’était en fait pas Petya, mais un système construit par un groupe de hackers lié au gouvernement russe qui avait emprunté le code de Petya. Cette version piratée du ransomware s'appelle PasPetya .
Le Petya original n’était pas si connu. Cependant, le nom de ce ransomware est devenu mondialement connu lorsque la version piratée a fait le tour du monde en 2017.
D’où vient le rançongiciel Petya ?
Le créateur de Petya s'appelait Solutions de cybercriminalité Janus . Personne ne sait où ce groupe est basé, mais son logo comprend l’icône du marteau et de la faucille de l’Union soviétique et il s’identifie à un syndicat du crime russe fictif. Le groupe visait à fournir un modèle de ransomware que d’autres pourraient utiliser moyennant des frais. C'était un Ransomware en tant que service concept, similaire aux services de « tests de résistance » que les créateurs de botnets DDoS fournissent pour monétiser leurs actifs.
Ainsi, avec le Petya original, les attaquants qui ciblaient les entreprises avec un ransomware utilisaient un outil. Chaque utilisateur a créé un compte et a agi en tant qu'affilié, utilisant la boîte à outils pour les attaques, puis payant au groupe Janus un pourcentage de ses revenus. Le Phase bêta du Petya original était ouvert aux candidats sur invitation uniquement.
Un gros problème pour les pirates était que le Petya original avait besoin de privilèges d'administrateur. Il n’est pas si facile de tromper les titulaires de ces comptes dans les entreprises pour qu’ils remettent leurs informations d’identification. Sans le statut d'administrateur pour l'installation, le logiciel Petya ne pourrait pas fonctionner. Ainsi, Janus a ajouté un deuxième système appelé Micha . Cela crypte les fichiers sur le compte utilisateur actuel et ne nécessite pas de privilèges de haut niveau. La plateforme RaaS a été entièrement ouverte en juillet 2016.
Que veut dire Petya ?
Le film de James Bond, GoldenEye, a inspiré le nom de Petya. Les pirates qui l'ont créé ont adopté les noms et les images de ce film, dont l'intrigue était centrée sur un groupe de hackers russes détournant des lanceurs d'armes basés sur des satellites.
Le groupe possédait un compte Twitter appelé Janus Secretary et un avatar montrant une photo de l'acteur écossais Alan Cumming dans Boris Grishenko , un hacker du groupe, Syndicat Janus .
Dans le film, qui se déroule peu de temps après la dissolution de l'Union soviétique, le Syndicat Janus utilise des logiciels malveillants pour prendre le contrôle de deux satellites de l'ère soviétique. Ceux-ci portent des armes GoldenEye, qui sont des systèmes à impulsions électromagnétiques (EMP). L'un de ces satellites s'appelait Petia . Le site Web RaaS qui accède au système Petya est intitulé « Janus Cybercrime ». Lorsque Janus a ajouté son deuxième système d'infection au service Petya, il a utilisé le nom de l'autre satellite GoldenEye : Micha .
Versions de Petya
Janus Cybercrime Solutions a créé quatre versions de Petya. Ceux-ci sont:
- Version 1.0 , connu sous le nom de Red Petya parce que ses demandes de rançon étaient sur fond rouge et que le logo du service était une tête de mort sur fond rouge. C'était en direct pendant la phase bêta du RaaS.
- Version 2.0 , appelé Green Petya parce que sa palette de couleurs comportait du texte vert sur fond noir. C'est la version en partenariat avec Mischa.
- Version 2.5 , mêmes thèmes que Green Petya mais avec des corrections de bugs.
- Version 3.0 , connu sous le nom de Goldeneye, a utilisé un texte jaune sur fond noir pour ses communications et un texte noir sur fond jaune pour son logo tête de mort. Cela a ajouté un contournement du contrôle d'accès utilisateur (UAC) pour obtenir les privilèges d'administrateur.
Goldeneye était la dernière version officielle de Petya, et elle a été active jusqu'en décembre 2016. Les versions ultérieures étaient des copies piratées créées par d'autres équipes de hackers qui se sont approprié le code de Petya et l'ont adapté. Il ne s’agit pas à proprement parler de nouvelles versions de Petya mais de nouveaux virus qui reprennent certains des principes de Petya. Ceux-ci sont:
- PetrWrap , qui est basé sur Green Petya mais qui a son mécanisme de chargement.
- Santana , qui est une copie de Mischa plutôt que de Petya.
- Petya+ , écrit dans le framework .NET, ce virus ne crypte pas les fichiers mais affiche un écran de verrouillage avec une demande de paiement.
- PasPetya , aussi connu sous le nom ÉternelPetya et ExPetr , est basé sur Goldeneye et est la copie qui a le plus attiré l'attention sur la famille Petya. Le groupe de hackers Sandworm l'a développé pour l'agence de renseignement militaire russe, la GRU .
Le vrai Petya ne circule plus. Vous n’avez donc pas à vous en soucier. Cependant, NotPetya est un problème plus persistant.
Comment fonctionne Petya Ransomware ?
Petya ne court que les fenêtres . Il écrase le Enregistrement de démarrage principal ( MBR ) d'un ordinateur infecté, en chiffrant son Table de fichier principal ( MFT ). Cela désactive également le Mode sans échec . Le résultat de cette action est que les fichiers et le système d’exploitation sont bloqués, il n’y a donc aucun moyen de continuer à utiliser l’ordinateur à moins que la rançon ne soit payée. Cette action nécessite un accès administrateur. Si cela n'est pas possible, le programme d'installation exécute à la place le système de ransomware Mischa. Cela crypte les fichiers, permettant ainsi d'accéder à l'ordinateur.
Une attaque Petya commence par un courrier indésirable qui prétend contenir des informations importantes dans une pièce jointe. Les utilisateurs qui téléchargent cette pièce jointe et l’ouvrent déclenchent le virus. Green Petya s'est fait passer pour une candidature à un emploi avec un lien vers un profil. Le profil comprenait un PDF téléchargeable contenant le virus. Goldeneye était initialement destiné à l'Allemagne avec un e-mail en allemand contenant une pièce jointe infectée.
Le dropper (installateur) copie l'exécutable Petya dans le %DONNÉES D'APPLICATION% répertoire sous le nom d’un programme rencontré aléatoirement sur l’ordinateur. Goldeneye exécutera la routine Mischa avant l'attaque de Petya.
Si l'accès administrateur est autorisé, l'ordinateur plantera puis redémarrera avec un faux CHKDSK afficher. En vérité, pendant que vous surveillez la progression de cette opération, vous surveillez la progression du cryptage de la MFT, qui s'effectue avec le Salsa20 chiffrer. L'ordinateur affiche alors un logo en forme de tête de mort. Les couleurs utilisées dans cet écran vous indiquent à quelle version de Petya vous avez affaire.
Si la version Petya est Goldeneye, l’autorisation de l’administrateur n’est pas nécessaire pour accéder au MFT. Red Petya ne fera aucun mal si le compte utilisateur sur lequel il télécharge ne dispose pas des privilèges d'administrateur. Green Petya mettra en œuvre Micha s'il ne peut pas accéder au MFT pour exécuter sa routine Petya. Mischa crypte les fichiers du compte avec une combinaison asymétrique RSA le cryptage et le AES chiffrer.
Malheureusement, alors que d'autres ransomwares se concentrent sur les fichiers personnels contenant des documents, des images, des vidéos et de l'audio, Mischa chiffre également .EXE des dossiers. Un fichier crypté a son nom d'origine mais avec une extension supplémentaire à la fin, une chaîne de caractères aléatoire. Renommer le fichier pour supprimer cette extension différente ne décryptera pas le contenu.
Le logo de la tête de mort et des os croisés est animé et, une fois le parcours initial terminé, l'écran affiche une demande de rançon. Il demande un paiement en Bitcoin . Selon Green Petya, la rançon était de 1,93 Bitcoin, ce qui valait à l’époque 875 $. Aujourd’hui, ce montant vaudrait 71 975 $.
La demande donne à l'utilisateur des instructions pour télécharger le navigateur Tor et accéder à un site spécifique. Cette page indique le prix en Bitcoin. L'utilisateur doit saisir un identifiant unique , qui s'affiche sur l'écran de demande de rançon. Le résultat du processus de paiement est une clé de décryptage pour Petya et un utilitaire de décryptage pour Mischa.
Une fois que NotPetya a commencé à circuler, Janus Cybercrime Solutions a arrêté Petya et publié sa clé principale pour décrypter toutes les attaques précédentes. De plus, Malwarebytes Labs produit un décrypteur automatisé sur la base de cette clé pour assister les victimes.
Comment faire face à une attaque du ransomware Petya
La meilleure façon de lutter contre tout malware est de être prêt . Étant donné que les analyses de phishing par courrier électronique, les téléchargements de vidéos illégaux tentants et les sites Web infectés sont les canaux d'infection les plus fréquemment utilisés ; vous devez particulièrement veiller à la sécurité de vos terminaux.
Suivez ces quatre points pour éviter la vulnérabilité du système au ransomware Petya :
- Éduquez les utilisateurs sur l’accès aux virus et expliquez-leur comment éviter les infections.
- Utilisez un gestionnaire de correctifs et un programme de mise à jour de logiciels automatisés
- Sauvegardez tous les systèmes avec une stratégie permettant de conserver des sauvegardes distinctes pour chaque appareil
- Installer un service de détection et de réponse des points de terminaison
En utilisant les bons outils pour le système, vous pouvez prévenir les infections par le ransomware Petya et d’autres logiciels malveillants et être en bonne position pour vous remettre de toute attaque de ransomware qui déjouerait vos défenses.
Les meilleurs outils pour se protéger contre le ransomware Petya
L'histoire de la famille de rançongiciels Petya montre à quelle vitesse les logiciels malveillants peuvent changer . Les huit versions et adaptations de Petya ont vu le jour en un peu plus d'un an. Ainsi, disposer d’un outil de défense qui fonctionne bien dès maintenant ne signifie pas nécessairement que vous serez protégé contre les futures attaques de nouveaux logiciels malveillants.
Heureusement, certains excellents systèmes peuvent détecter une activité malveillante même si elle est causée par un logiciel malveillant jamais rencontré auparavant. Voici deux outils que vous pouvez essayer pour surveiller les points finaux et protéger les fichiers contre la falsification.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike combine un logiciel de point de terminaison avec une plate-forme cloud. Il s'agit d'une combinaison de CrowdStrike Faucon Empêcher package antivirus de nouvelle génération avec un coordinateur basé sur le cloud qui agit comme un SIEM .
L'avantage de cette configuration est que la protection des points finaux continue même si l'appareil est débranché du réseau et d'Internet. De plus, le module cloud est immédiatement mis à jour avec les dernières informations sur les menaces et coordonne les instructions à tous les agents des points finaux.
Aperçu du faucon met à jour les points de terminaison lorsqu'ils sont disponibles, et en retour, les agents des points de terminaison téléchargent des informations sur les activités. Le système Insight analyse les journaux que Prevent lui envoie pour rechercher des indicateurs de compromission. Un avantage significatif de l'utilisation du système CrowdStrike est qu'il maintient une équipe de recherche qui recherche constamment de nouveaux virus et ransomwares et trouve comment les combattre. Les données téléchargées depuis les systèmes Falcon Prevent fournissent les données sources de ces enquêtes.
CrowdStrike Falcon Insight peut gérer réponse aux menaces . Ce module comprend l'isolement d'une machine si un ransomware est détecté. Le service fonctionne également une liste noire des sites infectés et des adresses IP connues des pirates informatiques. Falcon Insight est également utile pour se défendre contre les intrusions sur le réseau. Vous pouvez bénéficier d’un essai gratuit de 15 jours de Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un protecteur de données et de fichiers. En tant que tel, il est apte à détecter les modifications non autorisées des fichiers, ce qui est précisément l’activité mise en œuvre par la plupart des systèmes de ransomware. De plus, le système ManageEngine s'installe sur Serveur Windows et surveille les appareils exécutant Windows, le système d'exploitation le plus fréquemment attaqué.
Le système DataSecurity Plus surveille les fichiers et identifie modifications non autorisées . Dès qu’un animal est repéré, le système déclenche une alerte. L'administrateur système peut décider lors de la configuration du logiciel ManageEngine ce que l'outil doit faire pour identifier l'activité des logiciels malveillants. Il est possible de mettre en place un workflow qui institue des réponses automatisées, telles que isoler l'appareil ou restaurer des fichiers.
ManageEngine DataSecurity Plus peut également servir les entreprises qui suivent une norme de confidentialité des données, telle que PCI DSS , HIPAA , ou RGPD . Le service identifiera les emplacements de données sensibles et catégorisera toutes les instances de données. Il suit également l'activité autour des données sensibles. DataSecurity Plus est disponible pour un essai gratuit de 30 jours .