Voici un petit partage pour revenir sur les origines et compiler l'évolution de l'attaque xPetya qui a touché, une fois encore, une partie du globe. 3 points seront abordés tout d'abord l'attaque en elle-même avec la véritable cible, puis ce qu'est vraiment NotPetya et pour finir des exemples concrets de coût subit par certains grands groupe qui ont communiqué là-dessus, merci à eux d'ailleurs.
A l'attaque !
L'attaque débute le 27 juin 2017, en Ukraine, c'est une fois encore une attaque massive qui touche plusieurs pays de parts le monde avec une violence similaire à WannaCry. D'ailleurs pour me paraphraser cette attaque, c'est comme si les grands groupes n'avaient tiré aucune leçon de WannaCry...
#petya c'est un peu le test pour savoir si les leçons de wanna cry ont été tiré ou pas ? #cybersecurite https://t.co/7SjNexKT6f
— JOLY Alexandre (@bsmt_nevers) June 28, 2017
L'attaque comme pour la précédente demandait une rançon sur les PC touchés, on a eu des kilomètres de photos de supermarché en Europe de l'Est touché et divers autres installations. Plus grave cela a même demandé que la centrale nucléaire de Tchernobyl repasse en manuelle pour la gestion de la radioactivité !
En France plusieurs entreprises sont touchées notamment Saint-Gobain, et des opérateurs de téléphonie, pour notre part on a été aussi touché, mais en "dommage collatéral" du fait des opérateurs ayant des perturbations nos téléphones en VOIP fonctionnaient mal ou pas du tout, merci les mobiles...
Sur le procédé de la propagation rien de très certain mis à part deux points. Premièrement, la première infection vient du piratage du logiciel MeDoc, très utilisé en Ukraine, qui lors de la diffusion d'une mise à jour à diffuser le virus.
Fig. 1 : Déroulé de l'attaque via MeDoc par Talos [1]
Une fois installé le virus scanne le réseau local pour trouver d'autres cibles, certains estimes qu'il aurait, pas toujours, mais par moment aussi scanné Internet pour infecter plus largement. Toutes les conditions de propagation ne sont pas connues, et on ne les connaîtra sûrement jamais, mais les principaux vecteurs sont connus, d'ailleurs c'est la faille EternalBlue, utilisée WannaCry, qui a été utilisée par NotPetya pour se propager sur les réseaux...
L'attaque a principalement visé l'Ukraine, MeDoc étant très répandu dans le pays, ainsi que certaines compagnies Russe, normale elles travaillent pour certaine encore beaucoup en Ukraine les autres pays touchés seraient plus des dommages collatéraux, mais qui a tout de même fait une fois encore de très gros dégâts.
Un ransomware ou pas
Au premier abord et avant d'avoir les premières analyses des experts en malware NotPetya ressemble à un ransomware, à Petya précisément [5], car une fois installé, il vous demande une rançon pour récupérer vos fichiers. Certains ont pris le risque de payer la rançon pour récupérer leurs fichiers, une fois encore ne payer pas les rançons, car la récupération n'est pas garantie. Au 2 juillet les pirates avaient tout de même récupéré plus de 9 000 $ :
The bitcoin wallet tied to #Petya ransomware has so far received 46 payments totaling 3.99029155 BTC ($9,799.1 USD)
— petya_payments (@petya_payments) July 2, 2017
D'ailleurs venons-en au fait cette attaque n'est pas un ransomware, car rapidement après les premières analyses les experts en malware acquièrent la certitude que NotPetya (c'est d'ailleurs pour cela qu'il est nommé ainsi) n'est pas un ransomware, mais un wiper [4].
Un wiper c'est un logiciel qui à pour but d'effacer vos données, voire de les effacer de manière sécurisée donc irrécupérable ! Le but de l'attaque n'était donc pas visiblement de faire un premier lieu de l'argent, mais bien de détruire des quantités importantes de données, notamment pour les clients de MeDoc.
Combien cela a coûté ?
Pour les entreprises, qui ont bien voulu communiquer voici quelques chiffres qui font froid dans le dos. Le groupe Mondelez qui détient notamment les marques Lu, les chocolats Côte d'Or à estimer que l'attaque lui coûtera 3% [2] de son chiffre d'affaires au second trimestre (26 milliards de chiffre, en 2016) et son action en bourse à chuter de 1,18% le jour J à Wall Street.
Le laboratoire Merck a aussi été touché et anticipe un repli de 2% de son chiffre d'affaires au second trimestre, et le port de Rotterdam qui a aussi été immobilisé durant quelques jours aurait perdu 170 millions d'euro par jour.
Pour finir, Saint-Gobain a été fortement touché et annonçait un recul d'un 1% de leur chiffre d'affaires sur le second trimestre. D'autres sociétés avaient 10 jours après l'attaque, encore 80 % de leur PC inutilisable selon le directeur de l'ANSSI Guillaume Poupard.
Et encore les comptes ne sont pas terminés...
Conclusion
Ce qu'il faut retenir, c'est que les entreprises qui sont passées au travers des gouttes de WannaCry n'ont rien retenue de cette attaque notamment sur les vecteurs d'infections, en effet la responsabilité est très partagée comme je l'écrivais ici : Mon point de vue sur WannaCry. 2016 était déjà l'année des ransomwares, 2017 sera encore un meilleur cru si j'ose dire la vigilance est donc plus que jamais de mise.
Pour rappel voici quelque grande ligne pour bien réagir en cas d'attaques de ransomware : Les 3 choses à faire si vous êtes victimes d'un ransomware et surtout on ne paye pas la rançon NotPetya nous a bien prouvé, s'il était besoin, que rien de garantie une restitution des données.
Si cet article vous a plus n'hésitez surtout pas à le partager sur vos réseaux !
Sources :
[1] Article de Talos sur le déroulé de l'attaque via MeDoc
[2] Mondelez prévoi de rogner son chiffre d'affaire de 3% au second trimestre
[3] BFM TV Businness revient sur les pertes énormes de certain groupe
[4] Un faible espoir de récupération de données
[5] Malwarebytes nous retrace l'historique de Petya et ces descendants
[6] Un léger retour de Clubic sur l'attaque
[7] Page wikipedia sur l'attaque
Crédit photo : Wikimedia
