La famille de malwares Petya n’est pas nouvelle et l’un de nos chercheurs a
déjà réalisé un post de blog concernant ce malware par le passé. Il s’agit d’un ransomware disponible sous forme de service et qui épargne
aux cybercriminels de développer leur propre malware.

Le ransomware fait en sorte que l’utilisateur infecté ne puisse récupérer
ses données qu’après le paiement d’une rançon équivalant à 300 dollars en
bitcoins. Il est important de noter qu’aucun paiement jusqu’à présent n’a
abouti à un décryptage réussi.

La manière dont le malware se propage :

Cette dernière variante utilise trois principaux moyens d’attaque pour se
propager :

– CVE-017-0199 ( Microsoft Office / WordPad Remote Code Execution
Vulnerability w / Windows API) - un vecteur basé sur le poste client qui se diffuse par courrier électronique. (Très probablement en pièce jointe - le vecteur initial se dissimulait dans un fichier nommé Order-20062017.doc.)

– Une fois que le malware s’est exécuté, l’ordinateur infecté tente une connexion à 84.200.16.242/myguy.xls qui est un fichier MS HTA. Cela se traduit par la connexion à french-cooking[.]com qui télécharge et dépose un autre exécutable (myguy.exe, enregistré) sur le système local .exe, pour lequel est un nombre aléatoire compris entre 0 et 65535).

– Une fois que le ransomware a infecté le poste, il tente d’utiliser le second vecteur, en passant par MS017-010 (Vulnérabilité d’exécution de code à distance SMB de Windows) et en utilisant l’exploit ’ETERNALBLUE’ - un vecteur d’infection basé sur le réseau pour se répandre sur des réseaux internes - soit la même vulnérabilité exploitée par ‘WannaCry’, le malware qui a fait parlé de lui récemment.

– Le logiciel malveillant semble exploiter Windows WMI ( Microsoft Windows
Management Interface) pour se répandre sur les réseaux internes si les informations d’identification des administrateurs sont disponibles. La méthode d’escalade des privilèges et / ou le vol d’identité qui facilite cette action est encore en cours d’analyse.

Impact de l’infection :

Il semble que ce ransomware visait initialement des cibles en Ukraine, via
un logiciel de comptabilité, bien que des rapports plus récents semblent
confirmer que l’attaque affecte également des systèmes en Espagne, en
France, en Russie et en Inde. En effet, un plus grand nombre
d’organisations de par le monde pourraient bien être affectées au fur et à
mesure que les gouvernements et les entreprises du monde entier se
retrouvent exclus de leurs propres machines.

Ce malware est plus malveillant que la plupart des variétés de ransomware.
En effet, Petya ne crypte pas uniquement les fichiers sur un système ciblé
un par un - il crypte également la table de fichiers maîtres du disque dur
(MFT), ce qui qui rend le secteur d’amorçage (MBR) inutilisable et empêche
le système de démarrer.

Lors du redémarrage du système infecté, le ransomware affiche une fausse
erreur de CHKDSK, ên même temps qu’il procède au chiffrement du système.

Le processus CHKDSK qui s’affiche est en fait l’opération de chiffrement du
système.

Cependant, le ransomware Petya a en réalité remplacé le MBR du système par
un code malveillant qui affiche une demande de rançon, rendant le
périphérique incapable de démarrer :

– Petya chiffre l’ensemble du système, pas seulement les fichiers individuels.

– Notez que, une fois que le système infecté a été redémarré, il ne tente
plus de répandre l’infection (puisque l’ordinateur infecté arrête de
démarrer). Il est donc susceptible de se propager beaucoup plus lentement
que ne le fait le ransomware WannaCry.

Pour les clients qui possèdent Juniper SRX et IDP, MS17-010 est couvert par
plusieurs CVE et leurs signatures correspondantes.
Petya ayant été distribué par le passé via des campagnes de spam, les
techniques d’inspection de courrier électronique embarquées dans Juniper
Networks SkyATP sont en mesure d’identifier ce malware.

Plus d’informations disponibles à cette adresse :
https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653