APTFilter AVGNews CERT-LatestNews FSecureNews KasperskyNews Malware McAfeeNews Security News SocialEngineering SophosNews SymantecNews ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic TrendMicroNews Uncategorized VulnerabilitiesAdobe VulnerabilitiesAll VulnerabilitiesApple VulnerabilitiesApplications VulnerabilitiesCisco VulnerabilitiesCrypto VulnerabilitiesDBMS VulnerabilitiesFirmware VulnerabilitiesGoogle VulnerabilitiesHardware VulnerabilitiesLinux VulnerabilitiesMicrosoft VulnerabilitiesMozilla VulnerabilitiesNetwork VulnerabilitiesOS VulnerabilitiesVMWare VulnerabilitiesVOIP

Nouvelle variante de Petya : l’analyse de Juniper Networks

KenGilmour

La nouvelle ne vous aura pas échappé… une nouvelle variante de Petya est à l’origine du chiffrement de nombreux systèmes.

La famille de malwares Petya n’est pas nouvelle et l’un de nos chercheurs a déjà réalisé un post de blog concernant ce malware par le passé. Il s’agit d’un ransomware disponible sous forme de service et qui épargne aux cybercriminels de développer leur propre malware.

Le ransomware fait en sorte que l’utilisateur infecté ne puisse récupérer ses données qu’après le paiement d’une rançon équivalant à 300 dollars en bitcoins. Il est important de noter qu’aucun paiement jusqu’à présent n’a abouti à un décryptage réussi.

La manière dont le malware se propage :

Cette dernière variante utilise trois principaux moyens d’attaque pour se propager :

- CVE-017-0199 ( Microsoft Office / WordPad Remote Code Execution Vulnerability w / Windows API) – un vecteur basé sur le poste client qui se diffuse par courrier électronique. (Très probablement en pièce jointe – le vecteur initial se dissimulait dans un fichier nommé Order-20062017.doc.)

- Une fois que le malware s’est exécuté, l’ordinateur infecté tente une connexion à 84.200.16.242/myguy.xls qui est un fichier MS HTA. Cela se traduit par la connexion à french-cooking[.]com qui télécharge et dépose un autre exécutable (myguy.exe, enregistré) sur le système local .exe, pour lequel est un nombre aléatoire compris entre 0 et 65535).

- Une fois que le ransomware a infecté le poste, il tente d’utiliser le second vecteur, en passant par MS017-010 (Vulnérabilité d’exécution de code à distance SMB de Windows) et en utilisant l’exploit ’ETERNALBLUE’ – un vecteur d’infection basé sur le réseau pour se répandre sur des réseaux internes – soit la même vulnérabilité exploitée par ‘WannaCry’, le malware qui a fait parlé de lui récemment.

- Le logiciel malveillant semble exploiter Windows WMI ( Microsoft Windows Management Interface) pour se répandre sur les réseaux internes si les informations d’identification des administrateurs sont disponibles. La méthode d’escalade des privilèges et / ou le vol d’identité qui facilite cette action est encore en cours d’analyse.

Impact de l’infection :

Il semble que ce ransomware visait initialement des cibles en Ukraine, via un logiciel de comptabilité, bien que des rapports plus récents semblent confirmer que l’attaque affecte également des systèmes en Espagne, en France, en Russie et en Inde. En effet, un plus grand nombre d’organisations de par le monde pourraient bien être affectées au fur et à mesure que les gouvernements et les entreprises du monde entier se retrouvent exclus de leurs propres machines.

Ce malware est plus malveillant que la plupart des variétés de ransomware. En effet, Petya ne crypte pas uniquement les fichiers sur un système ciblé un par un – il crypte également la table de fichiers maîtres du disque dur (MFT), ce qui qui rend le secteur d’amorçage (MBR) inutilisable et empêche le système de démarrer.

Lors du redémarrage du système infecté, le ransomware affiche une fausse erreur de CHKDSK, ên même temps qu’il procède au chiffrement du système.

Le processus CHKDSK qui s’affiche est en fait l’opération de chiffrement du système.

Cependant, le ransomware Petya a en réalité remplacé le MBR du système par un code malveillant qui affiche une demande de rançon, rendant le périphérique incapable de démarrer :

- Petya chiffre l’ensemble du système, pas seulement les fichiers individuels.

- Notez que, une fois que le système infecté a été redémarré, il ne tente plus de répandre l’infection (puisque l’ordinateur infecté arrête de démarrer). Il est donc susceptible de se propager beaucoup plus lentement que ne le fait le ransomware WannaCry.

Pour les clients qui possèdent Juniper SRX et IDP, MS17-010 est couvert par plusieurs CVE et leurs signatures correspondantes.
Petya ayant été distribué par le passé via des campagnes de spam, les techniques d’inspection de courrier électronique embarquées dans Juniper Networks SkyATP sont en mesure d’identifier ce malware.

Plus d’informations disponibles à cette adresse : https://forums.juniper.net/t5/Secur…

http://www.globalsecuritymag.fr/Nouvelle-variante-de-Petya-l,20170628,72226.html