Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

3 ans après, le spectre de NotPetya est toujours présent

juin 2020 par Amir Preminger, Vice-Président Recherches de Claroty, spécialiste de la sécurité OT/des systèmes industriels

Le nom de NotPetya est familier à toute personne intéressée par le sujet de la cybersécurité. NotPetya est désormais connue comme la 3èmecyberattaque mondiale, survenue en 2017, après les non moins célèbres Wannacry et Adylkuzz. Apparue le 27 juin 2017, NotPetya a été défini comme un ransomware - puisque demandant le paiement d’une rançon – mais d’un genre un peu nouveau puisqu’il agissait d’un malware destructeur de données – wiper - se propageant comme un ver informatique. NotPetya était surtout basé, comme Wannacry, sur l’exploitation de la faille informatique EternalBlue, volée à la NSA par le groupe de hackers Shadow Brokers.

Il est en effet important de rappeler que l’impact de NotPetya n’aurait pas été le même si la faille EternalBlue, dont l’exploitation a permis la propagation de NotPetya dans l’implémentation du protocole SMB (Server Message Block) de Microsoft, n’avait pas été rendue publique. La combinaison de la vulnérabilité et de la méthode brute-force consistant à infecter une IP accessible, a créé les conditions parfaites pour rendre NotPetya tristement célèbre.

La base d’une futur attaque « NotPetya » est en cours de conception
Dans le sillage de NotPetya, les ransomwares continuent de prospérer, en particulier au sein des réseaux internes non gérés qui ne peuvent pas être réparés ou n’ont pas la visibilité nécessaire pour identifier les ordinateurs vulnérables.

Toutefois, de nombreuses organisations ont réduit au minimum la surface d’attaque de leur réseau, ce qui rend l’infection inter-réseaux plus difficile puisqu’il n’y a pas de service accessible à exploiter. Pour faire face à cette adaptation, les adversaires ont adopté une nouvelle approche des logiciels de rançon, en découplant le point d’insertion de l’acte de chiffrement et de rançon proprement dit. Dans cette approche, une attaque APT est utilisée pour livrer le ransomware sans révéler la vulnérabilité utilisée pour entrer dans le réseau. Cela peut permettre à l’attaquant de prolonger la durée de vie de la vulnérabilité utilisée, ce qui est la partie la plus coûteuse dans le modèle économique des campagnes de ransomware.

Trois ans plus tard, il est important de rappeler/bien comprendre les conditions qui ont permis à NotPetya de faire autant de dégâts, pour anticiper et éviter de se faire piéger par un futur « NotPetya » :

1. L’absence de correctifs et de mises à jour par les entreprises : Malheureusement, ce problème est toujours d’actualité.
2. Une mauvaise segmentation des réseaux – Cela s’est certainement amélioré depuis 2017 mais il reste encore du chemin à parcourir.
3. Une mauvaise visibilité sur le réseau - Les organisations doivent avoir une visibilité des vulnérabilités présentes au sein de leur réseau afin de pouvoir comprendre pleinement leur exposition. Il est par exemple indispensable de savoir quels sont les appareils vulnérables, et en fonction de ses capacités de correction, de décider de corriger ou de bloquer le trafic problématique, ou alors de prendre le risque de le laisser non-corrigé.
4. Des capacités de surveillance insuffisantes – L’entreprise doit savoir si et quand un malware se propage dans son réseau. Visibilité et surveillance sont les clés pour connaître et protéger son réseau.

La base du prochain NotPetya est encore en cours de création, pour prévenir une attaque similaire à NotPetya il est donc essentiel de découvrir et de corriger les vulnérabilités, avant que les acteurs de la menace n’aient la possibilité de les exploiter à grande échelle. 3 ans après, beaucoup d’entreprises sont encore clairement exposées et vulnérables à une attaque de type NotPetya. Ça n’est pas une fin en soi, il faut juste juste se poser et tirer les enseignements des crises passées, surtout quand une crise similaire peut arriver à tout moment.


Voir les articles précédents

    

Voir les articles suivants