Cyberattaque Not Petya

Le ransomware* NotPetya a été découvert dans la journée du 27 juin. C’est un ransomware couplé à un ver** dans la lignée de WannaCry. Il se propage sur un réseau local à l’aide de failles corrigées dans le bulletin Windows MS17-010 ainsi que grâce à des comptes utilisateurs volés sur les machines infectées. En plus de chiffrer des fichiers sur le disque, NotPetya embarque du code lui permettant de chiffrer la MFT (Master File Table) qui liste tous les fichiers présents sur le disque dur. Cette fonctionnalité est identique au ransomware Petya. Néanmoins, il semble que cette infection ne soit pas liée à Petya, d’où le nom de NotPetya.

L’infection initiale a eu lieu par la compromission d’un logiciel de taxe ukrainien (ME Doc) qui disposait d’une fonctionnalité de mise à jour automatique. Les pirates ont compromis ce mécanisme de mise à jour pour déployer le ransomware. Cela explique que la majeure partie des entreprises touchées soient ukrainiennes.

Il est inutile de payer la rançon, l'adresse email utilisée par les pirates ayant été bloquée par le fournisseur (1). De plus Kaspersky a découvert que le ransomware chiffre le disque dur avec une clef qui n’est pas envoyée aux pirates, ce qui rend le déchiffrement impossible (2).

Propagation

Tout comme WannaCry, NotPetya utilise les exploits*** publiés par les ShadowBrokers : « EternalBlue » et « EternalRomance ». Contrairement à WannaCry, NotPetya ne se propage que sur un réseau local, ce qui limite les possibilités de propagation. En revanche, NotPetya embarque du code de mimikatz3, un outil permettant de récupérer des logins et des mots de passe sur une machine Windows. Ces logins vont permettre au ver de se propager sur des machines du réseau locale patchées contre « EternalBlue » et « EternalRomance ».

Le ver va scanner le réseau local à la recherche de machines à compromettre. Si elles sont patchées, il regarde si le partage de fichier \\Admin$ est disponible, si c’est le cas il se copie dessus et s’exécute sur la machine distante à l’aide de l’utilitaire PSEXEC (outil fourni par Microsoft pour exécuter des commandes à distance). Si \\Admin$ n’est pas accessible, le ver utilise WMI (Windows Management Instrumentation) pour lister les partages accessibles sur la machine. Si un partage est trouvé, il s’y copie et s’exécute à l’aide de PSEXEC.

Chiffrement des données

Deux types de chiffrement sont présents dans NotPetya :

  • Un chiffrement des fichiers avec une extension spécifique depuis Windows
  • Un chiffrement de la MFT lors du redémarrage de la machine

Le chiffrement des fichiers cible les fichiers avec les extensions suivantes : .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Le chiffrement de la MFT s’effectue en remplaçant le MBR (Master Boot Record) qui contient le code exécuté au démarrage d’une machine. NotPetya remplace ce code avec un code qui va lui permettre de chiffrer la MFT. Durant le chiffrement, NotPetya affiche un écran semblable à celui d’un CHKDSK.

pot petaya1.png

2 faux messages de chkdsk

not petaya2.png

Remédiations
Si une machine est infectée par NotPetya, les fichiers avec les extensions citées ci-dessus seront chiffrés et irrécupérables. Il faudra les restaurer à partir d’une sauvegarde saine.
Il faut empêcher la machine de redémarrer pour que le ransomware ne puisse chiffrer la MFT et la déconnecter du réseau pour éviter toute propagation.

Prévention
Il convient de patcher au plus vite les machines qui ne bénéficient toujours pas des correctifs publiés dans le bulletin MS17-010 https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017....
Il existe un « vaccin » pour NotPetya. Le ransomware cherche sur la machine la présence du fichier « C:\Windows\perfc ». S’il existe, l’exécution s’arrête. Ce fichier est spécifique à cette infection et n’arrêtera pas les suivantes. Etant donné qu’il s’agit d’une trace d’une infection, il pourrait être détecté par un antivirus.
Ce fichier peut être créé avec la commande Powershell suivante (à lancer en admin) :
$fusefile = "c:\Windows\perfc"; Out-File -FilePath $fusefile; Set-ItemProperty -Path $fusefile -Name IsReadOnly -Value $true
De manière générale, il convient de limiter au maximum les privilèges des utilisateurs pour limiter le risque de rebond en cas de compromission de leur compte.

Conclusion
NotPetya est le deuxième cas de ransomware se propageant comme un ver à l’aide d’exploits. Les ShadowBrokers ayant annoncé la publication de nouveaux exploits, de nouvelles infections devraient voir le jour dans les mois à venir. Pour se prémunir de ces infections il est vital d’appliquer les correctifs de sécurité au plus vite après leur publication.

Notes
https://posteo.de/blog/info-zur-ransomware-petrwrappetya-betroffenes-pos...
https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
https://twitter.com/gentilkiwi/status/879855038713274369

*Ransomware :  logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un « ransomware » chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
**Ver :  logiciel malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique
***Exploit : élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou un logiciel

Sources
https://tisiphone.net/2017/06/28/why-notpetya-kept-me-awake-you-should-w...
https://medium.com/@thegrugq/pnyetya-yet-another-ransomware-outbreak-59a...
https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known....
https://cloudblogs.microsoft.com/microsoftsecure/2017/06/27/new-ransomwa...

Quentin Salingue