Petya/Golden Eye/NotPetya
Petya/GoldenEye (également connue sous le nom de NotPetya) est une attaque par logiciel de rançon à grande échelle lancée en 2017. Conçue pour affecter les appareils Microsoft Windows, Petya infectait l'enregistrement d'amorçage maître de l'ordinateur attaqué afin d'exécuter un programme cryptant la table d'allocation de fichiers du disque dur, en empêchant Windows de démarrer correctement.
Les ordinateurs infectés étaient ainsi bloqués après avoir redémarré, et Petya réclamait une rançon en cryptomonnaie pour rétablir l'accès au système.
Chronologie de l'attaque
Petya a été découverte en 2016, mais ce n'est que le 27 juin 2017 qu'une cyberattaque massive a été lancée avec une variante du logiciel de rançon se propageant dans plus de 60 pays. La menace, distribuée via des pièces jointes d'e-mails malveillantes, a été observée en premier lieu en Ukraine où, selon Microsoft, plus de 12 500 ordinateurs ont été affectés. Petya s'est ensuite propagée dans pas moins de 64 autres pays, dont la Russie, la Pologne, l'Italie et l'Allemagne.
Le 28 juin, Microsoft a publié une communiqué indiquant que la cible de l'attaque était le logiciel M.E.Doc, un programme de préparation de déclarations fiscales utilisé comme vecteur de propagation.
Début juillet, le groupe à l'origine de l'attaque a fait sa première déclaration publique, sur le service d'annonces DeepPaste du réseau Tor. Dans leur message, les auteurs de Petya proposaient de fournir la clé privée utilisée dans l'attaque en échange de 100 bitcoins, soit l'équivalent de plus de 250 000 dollars. Les dommages occasionnés par Petya ont été estimés par la Maison Blanche à 10 milliards de dollars, et l'attaque a été reliée aux services de renseignement russes.
Fonctionnement
Petya s'est propagée via l'exploitation EternalBlue, dont on estime généralement qu'elle avait été développée par l'agence américaine NSA, et qui avait été utilisée plus tôt dans l'année par le logiciel de rançon WannaCry. En plus de crypter les fichiers de l'ordinateur compromis, cette version du logiciel malveillant se caractérisait par le cryptage du MBR lorsqu'elle disposait de permissions d'admin, bloquant ainsi l'accès à l'ordinateur.
Elle était distribuée sous forme de DLL avec une exportation nommée à l'aide d'un paramètre qui changeait pour chaque échantillon et se générait au démarrage du processus de cryptage. A l'exécution, Petya cryptait certains fichiers des disques système compromis. En outre, si elle disposait des permissions d'administrateur, elle cryptait aussi le secteur d'amorçage du système, en empêchant l'accès à l'ordinateur jusqu'à ce qu'une clé de décryptage ait été saisie.
Le programme créait une tâche planifiée pour arrêter ensuite l'ordinateur. Au redémarrage, Petya affichait une fenêtre contrefaite indiquant qu'un problème de disque était en cours de résolution, puis elle affichait la demande de rançon.
Comment vous protéger de Petya
- Gardez votre système d'exploitation et votre logiciel de sécurité à jour et assurez-vous que votre firewall et que les dernières fonctions de sécurité de votre solution antivirus sont activés.
- Faites attention aux documents contenus dans des e-mails de sources non approuvées.
- Installez des barrières de sécurité avancées, telles que Panda Dome, avec une protection antivirus et antimalveillance.
- Analysez tous les e-mails entrants et sortants pour détecter des menaces, et filtrez les exécutables pour les empêcher de parvenir aux utilisateurs.
- Effectuez des sauvegardes périodiques de vos données et assurez-vous qu'elles fonctionnent correctement et ne sont pas accessibles à qui que ce soit sur le réseau.
