Après WannaCry, un nouveau rançongiciel (ransomware) se propage et rend les ordinateurs inutilisables grâce à un mode opératoire particulièrement retors. Il a pour l’instant touché surtout touché l’Ukraine, et en particulier les systèmes de surveillance des niveaux de radiation à Tchernobyl.
RANÇON. Les cyberattaques se suivent et décidément se ressemblent. Quelques semaines à peine après le rançongiciel WannaCry, qui a paralysé plus de 300.000 postes dans le monde, un nouveau virus de portée mondiale a visé mardi 27 juin 2017 de grandes entreprises et des services publics dans plusieurs pays, notamment en Russie, en Ukraine, en France, en Grande-Bretagne, aux Pays-Bas, au Danemark et en Norvège. Panorama d’une attaque d’ampleur mondiale, et portrait-robot du programme suspect.
Ils ne mouraient pas tous, mais tous étaient frappés
En France, Saint-Gobain a fait état d’une tentative de piratage à grande échelle mais a indiqué que le problème était en cours de résolution. “Par mesure de sécurité, afin de protéger nos données, nous avons isolé nos systèmes informatiques”, a indiqué à l’agence Reuters une porte-parole du groupe. D’autres firmes européennes sont touchées : le groupe danois de transport maritime A.P. Moller-Maersk, la compagnie maritime APM Terminals aux Pays-Bas, ainsi que le britannique WMP, plus grand groupe de publicité mondial. En Russie, le géant pétrolier Roneft ainsi que le sidérurgiste Evraz ont aussi été ciblés.
TCHERNOBYL. L’Ukraine est particulièrement affectée, puisque même le réseau informatique du gouvernement a été touché, ainsi que de nombreuses banques, dont la banque centrale. La compagnie nationale d’électricité Ukrenergo a aussi été touchée… Comme les systèmes de surveillance des radiations de l’ancienne centrale nucléaire Tchernobyl, forçant les techniciens de la centrale nucléaire ukrainienne à l’arrêt à mesurer la radioactivité avec des compteurs Geiger, pratique abandonnée il y a une dizaine d’années au profit de systèmes automatisés… qui tournaient sous Windows et ont donc été touchés… Ci-dessous, le vice-Premier ministre Pavlo Rozenko a publié sur son compte Facebook une photographie d’un ordinateur infecté.
Petya, Petrwap… Un mode opératoire particulièrement fourbe
Selon les déclarations de Costin Raiu, directeur de l’équipe de recherche de Kaspersky Lab cité par un article de Forbes, il s’agirait d’une variante d’un rançongiciel déjà observé en 2016, intitulé Petya, ayant donné lieu à de nouvelles infections début 2017 sous sa variante intitulée Petrwap.. “Nous détectons actuellement plusieurs milliers d’infections, ce qui rend l’attaque comparable à WannaCry par son ampleur“, a-t-il déclaré.
DISQUE DUR. La particularité de Petya et ses déclinaisons, par rapport à WannaCry ? Il hameçonne également sa victime à travers un lien dans un courriel, et cible également les ordinateurs utilisant Windows. Mais au lieu de crypter laborieusement l’intégralité des fichiers du disque dur dès son exécution, ce dernier s’attaque d’abord au secteur d’amorce du disque dur, qui correspond au tout premier programme exécuté par l’ordinateur après son démarrage. Petya le réécrit, puis provoque automatiquement le redémarrage du poste. L’écran affiché est alors similaire à celui partagé par le Vice-Premier ministre ukrainien. À ce stade, l’ordinateur ne peut plus démarrer normalement.
Lors du redémarrage, tout se passe en fait comme si l’ordinateur effectuait un contrôle de routine d’intégrité du disque dur, appelé “CHKDSK” (ou check disk), effectué en ligne de commandes. Mais ce n’est que façade, puisqu’en réalité le virus en profite pour crypter vos fichiers à votre insu… avant de vous rediriger vers un écran sibyllin où la malheureuse victime (vous) est invitée à payer une rançon en bitcoins. On ignore pour l’instant si cette nouvelle déclinaison introduit d’autres variantes.
Déroulé d’une attaque par Petya / Crédits : G Data Security Blog
Avec agences
