Actualités

Attaque informatique : le point sur la campagne de diffusion du rançongiciel Petya

 
 
Attaque informatique : le point sur la campagne de diffusion du rançongiciel Petya

Une nouvelle attaque informatique d'ampleur mondiale est en cours depuis mardi 27 juin 2017

Il s'agit d'une campagne de diffusion du rançongiciel Petya (apparu en mars 2016) également appelé Petwrap. Ce virus infecte les postes et serveurs qui utilisent les systèmes d'exploitation MS Windows.

À partir des éléments actuellement disponibles, nous pouvons décrire plusieurs mécanismes de propagation :

  • par l'exploitation des vulnérabilités du protocole SMB (MS17-010) déjà utilisées lors de l'attaque précédente de Wannacry. Ce mode de propagation ne fonctionne que sur les postes qui ne sont pas encore à jour ;
  • à partir d'un poste infecté, Peyta extrait de la mémoire le compte et mot de passe de la session en cours. Ces informations sont ensuite utilisées pour se répandre sur les autres machines du parc informatique. Ce mode de propagation ne fonctionne que si le compte de session "volé" dispose des privilèges d'administration ;
  • au travers de fichiers dont l'extension est en ".rtf " (.doc). Le vecteur d'infection initial pourrait utiliser des méthodes d'hameçonnage exploitant la vulnérabilité CVE-2017-0199.

Le virus chiffre les données locales ou en partage réseau, et provoque le redémarrage des équipements qui affichent alors une page demandant le paiement d'une somme en bitcoins (monnaie cryptographique) en "échange" d'une clé de déchiffrement. Il est recommandé de ne payer aucune rançon.

Plusieurs pays ont été atteints : l’État Ukrainien, la Russie, les États-Unis, dans les secteurs bancaires, du transport, de l'électricité et du nucléaire. L’Europe et la France sont également touchées dans le secteur industriel ou tertiaire (Saint Gobain et SNCF).

A ce stade aucun cas d'infection n'est relevé sur le périmètre du ministère de l'Intérieur.

L'adresse courriel (wowsmith123456 at posteo.net ) servant à recueillir les preuves de paiements a été bloquée. Les mesures de défense en profondeur et celles plus récemment appliquées suite à l'attaque Wannacry contribuent à assurer la protection de notre système d'information. Le passage des comptes Internet en profils sécurisés réduit le risque d'infection initiale lors de la consultation d'un site Internet piégé.

Le taux d'application du correctif de sécurité de la vulnérabilité SMB (MS17-010) est de 94% pour le ministère.

Les éditeurs antivirus ont mis à jour leurs bases de signatures durant la nuit du 27 au 28 juin.

Pour McAfee, la version 8574.0000 de la base, intègre la menace Peyta. Elle est disponible sur l'infrastructure antivirale EPO (pour les services portés par l’infrastructure technique ministère de l'Intérieur).

Les services qui procèdent à des mises à jour manuelles, doivent appliquer dans les plus brefs délais les dernières bases disponibles.

D'autres mesures de protection sont à l'étude : blocage d'exécutable, d'extension de fichiers en pièces jointes, de protocoles. Restez vigilants et à l'écoute.

Nous vous rappelons que le Centre de cyberdéfense peut réaliser l'analyse de fichiers suspects afin de lever le doute quant à leur dangerosité. Nous vous demandons d'informer vos utilisateurs et votre hiérarchie sur les risques encourus ainsi que sur la conduite à tenir.

Conduite à tenir :

  • je ne travaille pas avec un compte administrateur sur mon poste de travail ;
  • j'utilise la suite LibreOffice non affectée par la CVE-2017-0199 ;
  • j'informe mon responsable de la sécurité des systèmes d’information et mon service informatique de tout événement suspect ;
  • je vérifie l'expéditeur de mes courriels et surtout ceux étiquetés [INTERNET] ;
  • je m'interroge systématiquement sur le bien-fondé de courriels que je reçois : mon besoin d'en connaître, mon besoin d'y répondre ;
  • je n'ouvre pas systématiquement les pièces jointes des courriels reçus. Je me demande si elles pourraient être infectées. Si je le pense, je sollicite mon RSSI pour une levée de doute ;
  • je ne clique pas systématiquement sur les liens contenus dans les courriels, je sollicite mon RSSI ou mon service informatique si j'ai un doute ;
  • je ne branche aucun support sur mon poste de travail ou sur le réseau : clés USB, cartes SD, téléphones, tablettes, ordinateurs personnels... J'utilise des clés USB, ou des supports contrôlés, voire fournis par mon service informatique (station blanche) ;
  • si je suspecte un virus ou un comportement anormal de mon poste de travail, je débranche le câble réseau de mon poste et le signale à mon service informatique et à mon RSSI.

Voir les conseils de la police judiciaire contre Peyta sur le site de la Police nationale

Recommandations de l'ANSSI face à la campagne de rançongiciels à multiples capacités de propagation

Cinq conseils pour se prémunir contre les "rançongiciels" (ransomware)