NotPetya – Anatomie et remédiation face à cette nouvelle cyber attaque

Retour sur le mode opératoire et les moyens de remédiations à mettre en place pour se prémunir face à la propagation du logiciel malveillant (malware) NotPetya, aussi nommé Petna, SortaPetya ou encore ExPtr.

Si le malware NotPetya apparait comme plus dangereux que WannaCry c’est par ce que le vecteur d’attaque lui permet d’infecter des terminaux Windows plus anciens, dans la mesure où des outils d’administration classiques sont utilisés pour la latéralisation à savoir exécuter du code sur une machine distante. Les serveurs ainsi que les postes de travail font donc partis du périmètre d’infection possible.

Un vecteur d’infection initial incertain

Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017-0199 de Microsoft office lors du traitement de documents RTF (format de texte enrichi). Dans ce cas, un fichier de type RTF se trouverait en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant.

Microsoft a indiqué que le logiciel de paiement de taxe MeDoc pourrait être un des vecteurs de l’infection initiale. Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le logiciel malveillant sur l’ensemble des postes bénéficiaires du logiciel. Lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits qui propose une fonction de « pass-the-hash », soit en faisant appel à l’API CredEnumerateW afin d’exécuter le Ransomware sur les machines qui seraient vulnérable à Eternablue et EternalRomance.

Logiciel malveillant avec de multiples capacités de propagation

Renommé NotPetya par Kaspersky Lab, le rançongiciel se propagerait au sein du réseau infecté – indépendamment de toute action de l’utilisateur – par différents moyens : Il utiliserait l’exploit EternalBlue, déjà utilisé lors de WannaCry et l’exploit EternalRomance, code d’exécution ciblant les OS Windows XP, 2003, Vista, 7.8, Windows 2008 et 2008 R2 via le port 445 lui aussi rendu public par le groupe de pirates The Shadow Brokers; ainsi que les identifiants récupérés au préalable sur la machine infectée pour se propager dans le réseau.

NotPetya : simple ransomware, un leurre, ou une cyber attaque destructrice ?

Le mode opératoire et les très faibles gains de NotPetya interrogent quant aux motivations des attaquants. Les experts en sécurité font aujourd’hui émerger l’idée que le logiciel malveillant ne serait pas un simple rançongiciel, mais un nettoyeur de disque dur (wiper) comme le ver Shamoon qui avait touché l’Arabie Saoudite et le Moyen-orient à plusieurs reprises depuis 2012.

Le wiper procéderait par le biais d’un chiffrement à clé perdue en visant le progiciel de paiement de taxe MeDoC, largement déployé en Ukraine et dont l’utilisation est pratiquement obligatoire pour toutes entreprises souhaitant faire du business dans le pays (ce qui explique la propagation à des entreprises non ukrainiennes). Il se serait ensuite propagé au parc mondial Windows via un RAT (Remote Access or Admin Tool) depuis internet.    Les motivations derrières l’attaque tendraient ainsi plus à la destruction pure et simple des données puisque les attaquants ne sont pas en mesure de fournir les clés de déchiffrement.

Ces nouvelles analyses nous rappellent qu’une attention particulière doit être portée à ce type d’attaque qui peut tirer profit de l’engouement médiatique suscité par WannaCry. La théorie du leurre médiatique ne doit pas être écartée et l’apparent ciblage de l’Ukraine par ce qui semble être une attaque à volonté destructrice réveille les suspicions d’une attaque d’origine étatique. L’Ukraine avait déjà été la cible d’une cyber attaque (BlackEnergy) provoquant une coupure de courant en décembre 2015 et infectant l’aéroport de Kiev en janvier 2016.

Les enjeux géopolitiques dans la région nous rappellent le conflit qui oppose l’Ukraine à la Russie et l’attention se porte à nouveau sur les volontés belliqueuses de Moscou, même si la prudence est toujours de mise en matière d’attribution.

Mesures préventives à prendre contre NotPetya

Les utilisateurs sont invités à mettre à jour leur ordinateur et à installer la mise à jour de sécurité Microsoft MS17-010 sur leur machine qui permet de bloquer les exploits EternalBlue et EternalRomance. Cependant, puisque des outils d’administration classiques sont utilisés pour exécuter du code sur une machine distante (latéralisation), l’application des patchs n’est pas suffisante pour empêcher la propagation. Le CERT-FR a confirmé que plusieurs échantillons du logiciel malveillant possèdent la capacité de se propager en utilisant des identifiants légitimes volés sur la machine compromise (à l’aide de PSExec et du protocole WMI). Il est vivement recommandé de suivre les instructions de contournement provisoire fournies par le CERT-FR afin d’empêcher toute propagation : http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/index.html

Mesures réactives en cas d’infection du malware NotPetya

Le CERT-FR rappelle que de manière réactive, s’il n’est pas possible de mettre à jour une machine, il est recommandé de l’isoler logiquement, voire de l’éteindre le temps d’appliquer les mesures adaptées de protection. Il souligne que la désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l’installation des correctifs.

Il est enfin vivement conseillé d’alerter rapidement le responsable sécurité ou le service informatique et de sauvegarder les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou infectés. Il convient donc de les traiter comme tels. Il est conseillé de ne pas écraser les sauvegardes antérieures pour s’assurer des récupérer des fichiers non infectés.

L’expertise au centre de notre stratégie de croissance