Attaque Petya : EternalBlue diffuse à nouveau un ransomware

En mai 2017, le monde découvrait la plus grosse attaque par ransomware jamais lancée : WannaCry. Elle avait touché plusieurs centaines de milliers d'ordinateurs dans plus de 150 pays. Un mois après, voilà qu'une nouvelle attaque similaire frappe les plus grosses entreprises du monde : un ransomware nommé Petya et plusieurs de ses variantes ont bloqué des systèmes informatiques un peu partout.

Petya, comme WannaCry, utiliserait la désormais tristement célèbre faille critique de Windows appelée EternalBlue que les hackers ShadowBrockers ont dévoilée sur Internet et qui faisait partie de l'arsenal d'espionnage de la NSA.

Petya : un ransomware encore plus dangereux que WannaCry ?


Si l'attaque WannaCry avait laissé sans voix entreprises et spécialistes, ces derniers avaient déclaré qu'il fallait s'attendre à ce que de nouvelles attaques aient lieu. La faille EternalBlue avait toutes les chances d'être réutilisée et ça n'a pas raté : voici que Petya frappe partout dans le monde. Mais il semblerait que Petya soit différent de WannaCry et soit plus dangereux.

Selon les experts, alors que WannaCry ciblait des fichiers rendant l'ordinateur ou le système inutilisables, Petya et ses variantes comme NotPetya ou encore Petrwrap (plusieurs ont été détectées par les entreprises spécialisées dans la sécurité informatique) cibleraient l'intégralité du disque dur. Il devient donc encore plus compliqué de les éliminer du système.

hacker darknet pirate


Inutile de payer, ça ne sert à rien... il aurait fallu installer le correctif


Le plus étonnant dans cette attaque, c'est qu'une mise à jour de sécurité avait été déployée par Microsoft pour ses OS vulnérables, en particulier Windows XP, malgré la fin du support. Plusieurs entreprises dont des grands groupes tels que Saint-Gobnain en France, WPP, Rosneft ou encore les systèmes de surveillance automatique de Tchernobyl, ont toutefois été ciblées et infectées.

L'attaque aurait été lancée en Ukraine (60 % des infections) et en Russie (30 %) mais s'est rapidement propagée dans toute l'Europe et même en Asie et aux Etats-Unis.

A la différence de WannaCry, les victimes ne peuvent même pas espérer payer les pirates, qui demandent 300 dollars en bitcoins, pour récupérer leurs ordinateurs : le service mail Posteo a fermé l'adresse e-mail associée à l'attaque : les pirates ne peuvent donc pas contacter les victimes pour leur fournir, le cas échéant, la clé de décryptage. De toute manière, dans ce genre d'attaques, payer est totalement déconseillé comme le rappelait un spécialiste que nous avons pu interviewer.

Modifié le 28/06/2017 à 09h39
Commentaires