Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PetrWrap : des cybercriminels volent le code de ransomware d’autres criminels Le nouveau ransomware mène des attaques ciblées contre des entreprises

mars 2017 par Marc Jacob

Les chercheurs de Kaspersky Lab ont découvert PetrWrap, une nouvelle famille de malware exploitant le module d’origine du ransomware Petya et distribuée via une plate-forme RaaS (Ransomware as a Service) pour mener des attaques ciblées contre des entreprises. Les créateurs de PetrWrap ont produit un module spécial qui modifie le ransomware Petya existant « à la volée », laissant les auteurs de ce dernier impuissants face à l’utilisation non autorisée de leur propre malware. Ce pourrait être le signe d’une intensification de la concurrence sur le marché souterrain du ransomware.

En mai 2016, Kaspersky Lab avait découvert le ransomware Petya, qui non seulement chiffre les données stockées sur un ordinateur mais écrase aussi le secteur d’amorce (MBR) du disque dur, ce qui empêche le démarrage du système d’exploitation sur les machines infectées. Ce malware est un modèle de RaaS (Ransomware as a Service), c’est-à-dire que ses créateurs proposent leur produit malveillant « à la demande », afin de le propager via de multiples distributeurs en s’octroyant un pourcentage des profits au passage. Pour s’assurer de recevoir leur part du butin, les auteurs de Petya ont inséré certains « mécanismes de protection » dans leur malware de façon à prévenir un usage non autorisé de ses échantillons. Les auteurs du cheval de Troie PetrWrap, dont les activités ont été détectées pour la première fois au début de 2017, sont parvenus à contourner ces mécanismes et ont trouvé un moyen d’exploiter Petya sans verser de redevance à ses auteurs.

Le mode de diffusion de PetrWrap reste à éclaircir. Après infection, PetrWrap lance Petya afin de chiffrer les données de sa victime, puis exige une rançon. Ses auteurs emploient leurs propres clés de chiffrement privées et publiques en lieu et place de celles fournies avec les versions « standard » de Petya. Cela leur permet d’exploiter le ransomware sans avoir besoin de la clé privée d’origine pour décrypter la machine de la victime, dans le cas où cette dernière paie la rançon.

Apparemment, ce n’est pas par hasard si les développeurs de PetrWrap ont choisi Petya pour perpétrer leurs activités malveillantes : cette famille de ransomware s’appuie désormais sur un algorithme cryptographique relativement sans faille et donc difficile à percer, or il s’agit du composant essentiel de tout cryptoransomware. Dans plusieurs cas par le passé, des failles dans la cryptographie ont permis aux chercheurs en sécurité de trouver un moyen de décrypter les fichiers et de mettre ainsi en échec les campagnes malveillantes. Cela avait également été le cas pour les versions précédentes de Petya mais, depuis lors, ses auteurs ont corrigé la quasi-totalité des erreurs. Par conséquent, le cryptage d’une machine attaquée par les versions les plus récentes de Petya est très robuste, ce qui explique pourquoi les criminels qui se cachent derrière PetrWrap ont jeté leur dévolu sur ce malware. En outre, l’écran de verrouillage présenté aux victimes de PetrWrap ne fait aucune mention de Petya, ce qui complique encore la tâche des experts de sécurité pour évaluer la situation et identifier rapidement la famille de ransomware en cause.

« Nous voyons aujourd’hui les auteurs de menaces commencer à s’entre-dévorer. Nous percevons cela comme le signe d’une intensification de la concurrence entre les différents gangs de ransomware. En théorie, c’est une bonne nouvelle car le temps que les cybercriminels passent à se combattre et à s’escroquer les uns les autres est un temps qui n’est pas mis au service de leurs campagnes malveillantes. Le souci, en l’occurrence, concerne l’utilisation de PetrWrap dans des attaques ciblées. Ce n’est pas le premier cas d’attaques ciblées par un ransomware et il y a hélas fort à parier que ce ne soit pas le dernier. Nous exhortons les entreprises à accorder un maximum d’attention à la protection de leurs réseaux contre ce type de menace, dont les conséquences peuvent être véritablement désastreuses », commente Anton Ivanov, chercheur senior en sécurité dans la lutte contre les ransomwares chez Kaspersky Lab.

Afin de protéger les entreprises contre ce type d’attaques, les experts en sécurité de Kaspersky Lab préconisent les mesures suivantes :

• Sauvegardez soigneusement et régulièrement vos données de façon à pouvoir revenir aux fichiers originaux en cas d’attaque.

• Installez une solution de sécurité dotée de technologies de détection comportementale. Celles-ci sont capables d’intercepter un malware, notamment un ransomware, en surveillant comment il opère sur le système attaqué afin de repérer les échantillons malveillants nouveaux et encore inconnus.

• Procédez à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes) afin d’identifier et d’éliminer toute faille de sécurité. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle.

• Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques à leur encontre.

• Formez votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes.

• Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.


Voir les articles précédents

    

Voir les articles suivants