Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

EternalBlue à nouveau utilisé pour répandre un ransomware plus puissant que WannaCryptor

juin 2017 par ESET

Pour se diffuser, il utilise une combinaison de l’exploit SMB EternalBlue, utilisée par WannaCryptor pour se propager dans le réseau via PsExec.

Détectée par ESET® comme Win32/Diskcoder.C Trojan., une nouvelle attaque de ransomware liée à la famille Petya cible l’Ukraine. S’il infecte le MBR, le ransomware chiffre l’intégralité du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa.

Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec. Les experts ESET espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware s’infiltre dans le réseau. Le malware peut alors obtenir des droits d’administrateur et se propager sur d’autres ordinateurs.

Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques, les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook® par le Premier ministre adjoint de l’Ukraine, Pavlo Rozenko, qui montre qu’un ordinateur est apparemment chiffré.

La Banque Nationale d’Ukraine a averti sur son site Internet les autres banques : « Le secteur financier a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs du marché financier. »

Forbes a déclaré que bien qu’il semble y avoir des similitudes avec WannaCrypt (d’autres le décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.

Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de WannaCrypt. Il proviendrait du Groupe IB : « Si vous voyez ce texte, vos fichiers ne sont plus accessibles, car ils ont été chiffrés ... Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de payer [300 bitcoins] et acheter la clé de déchiffrement. »

Il semble que l’attaque de ransomware ne soit pas spécifique à l’Ukraine. The Independent déclare que l’Espagne et l’Inde ont également été infectées, ainsi que la compagnie de transport maritime danoise Maersk® et la société de publicité britannique WPP®.

WPP a depuis confirmé sur Twitter® qu’il a été victime d’une cyberattaque : « Les systèmes informatiques de plusieurs entreprises de WPP ont été infectés par une cyberattaque. Nous prenons les mesures appropriées et nous mettrons à jour nos systèmes au plus vite. »




Voir les articles précédents

    

Voir les articles suivants