Ransomware Petya

Ransomware Petya

Peu de temps après Wannacry, une nouvelle variante de ransomware nommée Petya a proliféré à l'échelle mondiale, en ciblant de nombreux secteurs d'activité et entreprises critiques dans l'énergie, le bancaire et les transports. Pour l’équipe FortiGuard Labs, Petya est bien plus qu'une nouvelle version de ransomware. Le malware est représentatif d'une nouvelle vague d'attaque par ransomware utilisant différents vecteurs. Pour Fortinet il s'agit d'un « ransomworm »,qui tire profit de multiples vulnérabilités, et ce, de manière coordonnée. Un ransomworm est conçu pour se mouvoir furtivement et de manière autonome sur différents systèmes, plutôt que d'être présent à un seul endroit ou dans l'attente d'une action de l'utilisateur final.

Ce type d'attaque ne se contente pas de cibler une seule entreprise mais s'inscrit plutôt dans une campagne large, avec l'objectif de cibler tous les équipements identifiés présentant une ou plusieurs vulnérabilités susceptibles d'être exploitées. Dans le cas de Petya, l'attaque peut être initée par l'envoi d'un document Excel qui exploite une vulnérabilité connue de Microsoft Office. Cependant, d'autres vecteurs d'attaque ont été utilisés (le service WMIC de Windows notamment). Le patching seul ne suffit donc pas pour neutraliser complètement ce ransomworm,ce qui implique de déployer des outils de sécurité pertinents et d'adopter de bonnes pratiques.

Un nouveau ransomworm à la suite de WannaCry

Un nouveau ransomworm à la suite de WannaCry

Lire
Mapping The Ransomware Landscape

Mapping The Ransomware Landscape

Lire
Les impacts de Petya et les moyens de se protéger des attaques

Les impacts de Petya et les moyens de se protéger des attaques

Voir

La Security Fabric de Fortinet assure une protection totale contre le ransomworm Petya, via des fonctions intégrées et automatisées, parmi lesquelles la prévention et la détection automatisées des intrusions (IPS/IDS), la protection antimalware (antivirus), l'analyse en temps réel des fichiers suspects (FortiSandbox) et le partage automatisé d'informations de veille.

Il y a quelques mois, Microsoft a proposé un patch pour une des vulnérabilités exploitées. Nous recommandons donc aux entreprises de patcher leur système le plus tôt possible. Les systèmes et infrastructures critiques hérités sont particulièrement vulnérables à cette attaque. Cependant, compte tenu de la multiplicité des vecteurs d'attaque, des mesures de sécurité supplémentaires s'imposent. 

Recommandations en matière de sécurité :

Voici nos recommandations à l'intention des entreprises souhaitant se protéger de ce malware :

Directions informatiques

  • Sauvegardez vos fichiers systèmes critiques et stockez cette sauvegarde en offline.
  • Assurez-vous de disposer d'un référentiel de vos configurations et systèmes d'exploitations, ce qui vous permet de restaurer vos postes de travail en toute confiance.
  • Patch
  • Vérifiez que vos patchs soient actualisés.

Utilisateurs

  • N'exécutez aucun fichier provenant de sources inconnues.

Opérations de sécurité

  • Mettez les signatures et les antivirus à disposition.
  • Utilisez la sandbox pour vos pièces jointes.
  • Optez pour une détection de type comportementale.
  • Au niveau des pare-feux, recherchez les preuves de communication de type Command & Control
  • Assurez une segmentation du réseau, pour limiter la prolifération du malware et sauvegarder les données susceptibles d'être chiffrées.
  • Désactivez le protocole RDP et/ou assurez-vous de la sécurité de l'authentification, pour ainsi éviter la propagation du malware.

Préconisations d'ordre général

  • En cas d'infection, ne jamais régler la rançon.
  • Partagez vos preuves d'intrusion avec des organisations de confiance, pour contribuer aux efforts de la communauté de la sécurité en matière de diagnostic, de prise en charge et de remédiation.


Pour plus d'informations sur les ransomware, rendez-vous sur le Petya Central Content Hub.

Pour plus d’informations sur les solutions Fortinet contre les ransomware, consultez notre page sur les solutions d’entreprise.