Cybercriminalité : NotPetya ou l’histoire d’un faux rançongiciel
NotPetya a contaminé des milliers d'ordinateurs, perturbant pendant plusieurs mois des multinationales et infrastructures critiques, comme les ordinateurs de contrôles du site nucléaire de Tchernobyl, les ports de Bombay et d'Amsterdam. Parmi les entreprises touchées figuraient le pétrolier russe Rosneft, le transporteur maritime danois Maersk, le laboratoire pharmaceutique américain Merck, le publicitaire britannique WPP ou encore Saint-Gobain qui de son côté a estimé à 250 M€ l’impact de l’épisode sur son chiffre d’affaires 2017, et de 80 M€ sur son résultat d’exploitation. Comment ce malware a-t-il vu le jour ?
L’ancien conseiller de la sécurité intérieure de la Maison Blanche, Tom Bossert, estimait que le coût de la cyber attaque NotPetya était supérieur à 10 milliards de dollars. Dans cette même interview il déclarait également que le principal suspect du lancement du code malveillant était la Russie, au travers d’une attaque de cyberguerre visant une déstabilisation de l’Ukraine.
D’où vient ce nom?
NotPetya est le nom d’un malware qui a démarré en Russie et a commencé à sévir en Ukraine avant de se propager au monde entier. Alors que l’on supposait pour la première fois que le malware était une nouvelle souche de la famille des ransomware Petya apparus en 2016, Kaspersky Lab a qualifié le code "NotPetya" après analyse du code, mettant en avant le caractère destructeur du malware sans réelle volonté de collecter des rançons. Il est maintenant de plus en plus clair que l’épidémie mondiale NotPetya affectant les ordinateurs sous Microsoft Windows n’a pas été conçue pour enrichir des cyber criminels, mais pour semer le chaos. NotPetya, une fois à l'intérieur d'un réseau informatique, déroule son programme destructeur tout en contaminant un autre ordinateur, détruisant les fichiers système des machines infectées.
Après analyse du programme, il s’avère que la demande de rançon de 300 dollars en Bitcoin demandée en échange d’une clé de décryptage, n’était pas la motivation première, peu d’efforts ayant été déployés pour empocher les rançons, la seule finalité étant le maintien du cryptage des données et la désorganisation des entreprises et des sociétés. NotPetya a été conçu pour se propager rapidement et causer des dommages, sous l’habillage d’un ransomware, sa finalité étant la destruction et non l’extorsion de fonds.
Comment les cybercriminels ont-ils diffusé NotPetya ?
Un des principaux vecteurs au démarrage de la diffusion du virus a été à son insu la société de logiciels financiers MeDoc, qui a été contaminée. Les cyber pirates ont ainsi réussi à compromettre une mise à jour logicielle pour les produits de l'entreprise, qui sont largement utilisés dans le pays. Ainsi, lorsqu'ils sont téléchargés et installés par les victimes, leur réseau est immédiatement contaminé avec NotPetya.
Vol d’identifiants et infection du réseau
Le malware NotPetya utilise un ensemble d’outils pour se déplacer sur un réseau, infectant les machines au fur et à mesure. Ce logiciel malveillant a été conçu pour se propager en interne pendant moins d'une heure avant de s’exécuter. A la différence de Wannacry il ne se propage pas de manière externe sur Internet. Il est capable d’extraire les informations d'identification de l'administrateur réseau de la mémoire en cours d'exécution de la machine. Il utilise ces informations pour se connecter et exécuter des commandes sur d'autres ordinateurs utilisant PsExec et WMIC pour les infecter. Il peut analyser les sous-réseaux à la recherche de périphériques ou, s'il est exécuté sur un contrôleur de domaine, utiliser le service DHCP pour identifier les hôtes connus.
Injection de code malveillant
NotPetya utilise également une version modifiée de l'exploit EternalBlue volé à la NSA, précédemment utilisé par WannaCry, pour infecter d'autres systèmes en y injectant du code malveillant. Ce type d’attaque n’était efficace que si le patch correcteur communiqué par Microsoft n’a pas été déployé.
Accès administrateur
Plus important encore, NotPetya cherche à obtenir un accès administrateur sur une machine, puis exploite ce pouvoir pour commander d'autres ordinateurs du réseau: il tire parti du fait que beaucoup trop d'entreprises utilisent des réseaux plats dans lesquels un administrateur sur un terminal peut contrôler d'autres machines. , ou les informations d'identification d'administrateur de domaine présentes en mémoire, jusqu'à ce que le contrôle total sur le réseau Windows soit réalisé.
Quel bilan de l’attaque NotPetya un an après ?
Mikko Hypponen, directeur de la recherche chez F-Secure, société en cyber sécurité, a déclaré: "Je pense que NotPetya était l’incident de sécurité informatique le plus coûteux de l’histoire. Je pense qu’il a créé des pertes plus importantes que toute épidémie de malware ou de piratage informatique jamais, ni aucune fuite de données. C’était historique. "Plus d’un an après NotPetya, il semble que les leçons n’aient toujours pas été apprises. Partout dans le monde, les entreprises n’appliquent pas les correctifs / mises à jour régulières de leurs systèmes devenus obsolètes en raison d’un manque de ressources disponibles et des risques de perturbation de leurs organisations liés à ces mises à jour. NotPetya et Wannacry ont exploité ces voies et ce problème reste toujours d’actualité. Souscrire une assurance cyber contre des Notpetya ou Wannacry reste un des moyens immédiats les plus sûrs de protéger votre entreprise.