NotPetya: Peut-on encore se fier aux fournisseurs?

Ransomware © Getty Images/iStockphoto
Els Bellens

Alors que les effets de WannaCry étaient encore dans toutes les mémoires, on vit en juin se manifester un autre genre de ransomware: Petya alias NotPetya. Ce qui rendait cette attaque si spéciale, ce n’était pas le logiciel en soi, mais bien la façon dont il aboutit dans les entreprises du monde entier.

Fin juin, une nouvelle attaque de ransomware faisait des victimes au niveau mondial. Son épicentre semblait se situer en Ukraine, mais dans notre pays aussi, un producteur de médicaments et un fabricant de biscuits virent leurs systèmes bloqués. “NotPetya est une anomalie dans l’univers des rançongiciels”, explique Robert Lipovsky de l’entreprise de sécurité ESET. “Mais l’écran de NotPetya ressemblait à s’y méprendre à un maliciel précédent appelé Petya, ce qui explique l’appellation quelque peu bizarre.”

Du travail bâclé

Le côté étrange de NotPetya, c’est son concept bâclé. “Il est parvenu à toucher nombre d’entreprises et avait tout d’une campagne de ransomware”, explique Lipovsky. “Une fois l’ordinateur infecté, ses fichiers et disques étaient cryptés. Le logiciel était comparable à de précédentes combinaisons de Petya et d’un autre malware, Mischa. La différence résidait dans le fait qu’il y avait une certaine logique dans cette version précédente. Si un logiciel de cryptage ne parvenait pas à démarrer, un autre prenait sa place.” Toujours est-il que le premier malware cryptait le disque, mais si un utilisateur n’avait par exemple pas de droits d’administrateur et ne pouvait donc accéder au secteur d’amorçage (‘bootsector’), le second se mettait en action pour attaquer les fichiers eux-mêmes.

“Mais dans le cas de NotPetya, tous deux s’activaient simultanément, ce qui fait qu’ils se marchaient sur les… pieds”, affirme Lipovsky. “Il en résultait que même si l’utilisateur payait la rançon demandée, il ne recevait pas pour autant ses fichiers de retour. Il n’y avait aucune façon de saisir votre clé. Nous croyons dès lors que les agresseurs avaient conçu trop précipitamment leur malware. Nous connaissons pourtant des attaques bien mieux réfléchies lancées par ce même groupe de pirates. Ici, c’était du travail bâclé. Cela pouvait donc passer pour une manoeuvre de diversion.”

Lipovsky tient ici un langage assez diplomatique, au contraire d’autres chercheurs en sécurité. Selon Matt Suiche de la firme de cyber-sécurité Comae, l’objectif n’a jamais été de restituer les fichiers aux entreprises. “On observe que la version actuelle de Petya a clairement été réécrite pour être un effaceur (‘wiper’) et pas pour fonctionner comme un véritable rançongiciel”, prétend-il. Selon lui, le virus détruit sciemment le disque dur des ordinateurs qu’il contamine.

‘Patient Zero’

NotPetya vous est certainement connu comme l’attaque qui ciblait l’entreprise Maersk notamment. Le malware s’est propagé sous la forme d’un ver dans le réseau local en recourant à EternalBlue, tout comme l’avait fait WannaCry. Ce qui est peut-être encore plus intéressant, c’est cependant le ‘patient zero’ de l’infection. Anton Cherepanov, chercheur chez ESET, a examiné la ligne du temps de quelques attaques, ce qui semblait correspondre à diverses mises à jour du logiciel ME Doc, à savoir le programme comptable de facto en Ukraine. “Nous avons trouvé trois mises à jour différentes qui ont été utilisées comme portes dérobées permettant d’atteindre d’autres systèmes. Les agresseurs ont réussi à compromettre toute l’infrastructure de ME Doc. Ils ont transformée les mises à jour elles-mêmes en un cheval de Troie”, ajoute Cherepanov.

L’une des choses que ce cheval de Troie a faites, ce fut de voler le numéro d’entreprise des ‘clients’, afin que certaines firmes très spécifiques puissent être prises pour cible. “Ils ont également stocké ces infos dans le serveur d’updates de ME Doc, afin qu’elles puissent passer inaperçues. Car les connexions sortantes ne menaient pas vers l’un ou l’autre serveur offshore bizarre, mais vers le serveur d’updates de leur comptable.”

En d’autres mots, il est ici question d’une ‘supply chain attack’ classique, par laquelle des fournisseurs ou services sont abusés pour pénétrer dans d’autres entreprises. “Qui fut surtout touché?”, telle est la question posée par Mikko Hyppönen de F-secure. “Et bien les entreprises logistiques, comme Maersk. Car elles font des affaires avec chaque pays dans le monde, ce qui signifie qu’elles doivent y payer des taxes, y compris en Ukraine. Et cela signifie aussi qu’il y a au moins une poignée de stations ME Doc qui tournent dans cette entreprise.” En combinaison avec un ver qui parcourt allègrement le réseau interne, cela offre à NotPetya l’honneur douteux d’être le premier maliciel à avoir provoqué notamment une pénurie de ‘chicken nuggets’. “Et oui, ceux-ci se trouvaient enfermés à bord d’un container dans le port”, conclut Hyppönen.

A suivre: votre entreprise est-elle prête pour affronter les cyber-menaces?

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire