De nouvelles variantes du ransomware Petya étaient derrière la cyberattaque mondiale massive qui s’est propagée le 27 juin.
Cette nouvelle menace intègre à présent l’exploit EternalBlue comme moyen de propagation au sein d’un réseau ciblé. L’exploit en question attaque le service Windows Server Message Block (SMB), qui sert à partager des fichiers et les imprimantes sur les réseaux locaux. Microsoft a traité ce problème dans son bulletin MS17-010 en mars dernier, mais l’exploit s’est avéré essentiel à la diffusion de WannaCry le mois dernier.
Le ransomware Petya tente également de se diffuser en interne en cassant les mots de passe administrateurs et en infectant d’autres ordinateurs sur le réseau par le biais d’outils d’administration à distance. Il peut également se propager en interne en infectant les partages de réseau sur d’autres ordinateurs. Il fonctionne en utilisant un code pour voler des identifiants et forcer l’accès à des comptes utilisateur en cassant les mots de passe et déployant ensuite le ransomware. Pour infecter les ordinateurs distants, il se diffuse avec un outil d’administration distant officiel intégré, appelé PsExec, provenant de la suite SysInternals de Microsoft.
Les mesures défensives
Voici ce que nous vous invitons absolument à faire maintenant :
- Assurez-vous que les systèmes ont reçu les derniers correctifs, y compris celui en provenance du bulletin MS17-010 de Microsoft.
- Envisagez de bloquer l’utilisation de l’outil Microsoft PsExec sur les ordinateurs des utilisateurs. Une version de cet outil est utilisée dans le cadre d’une autre technique d’attaque utilisée par Petya pour se propager automatiquement.
- Sauvegardez régulièrement et conservez une copie récente hors ligne. Il existe des dizaines de situations, hors ransomware, à la suite desquelles des fichiers peuvent disparaître brusquement, telles que le feu, les inondations, le vol, un ordinateur portable abandonné ou même une suppression accidentelle. Chiffrez votre sauvegarde et vous n’aurez plus à vous inquiéter si elle tombe dans de mauvaises mains.
- Évitez d’ouvrir des pièces jointes envoyées par email et en provenance de destinataires que vous ne connaissez pas, même si vous travaillez en ressources humaines ou en comptabilité et que vous utilisez beaucoup de pièces jointes dans votre travail.
Vous avez besoin d’accompagnement pour la protection de vos données ? N’hésitez pas à nous solliciter.
L’équipe Stordata