Kaspersky Lab

 

Communiqués de Presse

14.03.2017

PetrWrap : des cybercriminels volent le code de ransomware d’autres criminels

Le nouveau ransomware mène des attaques ciblées contre des entreprises

Les chercheurs de Kaspersky Lab ont découvert PetrWrap, une nouvelle famille de malware exploitant le module d’origine du ransomware Petya et distribuée via une plate-forme RaaS (Ransomware as a Service) pour mener des attaques ciblées contre des entreprises. Les créateurs de PetrWrap ont produit un module spécial qui modifie le ransomware Petya existant « à la volée », laissant les auteurs de ce dernier impuissants face à l’utilisation non autorisée de leur propre malware. Ce pourrait être le signe d’une intensification de la concurrence sur le marché souterrain du ransomware.

En mai 2016, Kaspersky Lab avait découvert le ransomware Petya, qui non seulement chiffre les données stockées sur un ordinateur mais écrase aussi le secteur d’amorce (MBR) du disque dur, ce qui empêche le démarrage du système d’exploitation sur les machines infectées. Ce malware est un modèle de RaaS (Ransomware as a Service), c’est-à-dire que ses créateurs proposent leur produit malveillant « à la demande », afin de le propager via de multiples distributeurs en s’octroyant un pourcentage des profits au passage. Pour s’assurer de recevoir leur part du butin, les auteurs de Petya ont inséré certains « mécanismes de protection » dans leur malware de façon à prévenir un usage non autorisé de ses échantillons. Les auteurs du cheval de Troie PetrWrap, dont les activités ont été détectées pour la première fois au début de 2017, sont parvenus à contourner ces mécanismes et ont trouvé un moyen d’exploiter Petya sans verser de redevance à ses auteurs.

 

Le mode de diffusion de PetrWrap reste à éclaircir. Après infection, PetrWrap lance Petya afin de chiffrer les données de sa victime, puis exige une rançon. Ses auteurs emploient leurs propres clés de chiffrement privées et publiques en lieu et place de celles fournies avec les versions « standard » de Petya. Cela leur permet d’exploiter le ransomware sans avoir besoin de la clé privée d’origine pour décrypter la machine de la victime, dans le cas où cette dernière paie la rançon.

 

Apparemment, ce n’est pas par hasard si les développeurs de PetrWrap ont choisi Petya pour perpétrer leurs activités malveillantes : cette famille de ransomware s’appuie désormais sur un algorithme cryptographique relativement sans faille et donc difficile à percer, or il s’agit du composant essentiel de tout cryptoransomware. Dans plusieurs cas par le passé, des failles dans la cryptographie ont permis aux chercheurs en sécurité de trouver un moyen de décrypter les fichiers et de mettre ainsi en échec les campagnes malveillantes. Cela avait également été le cas pour les versions précédentes de Petya mais, depuis lors, ses auteurs ont corrigé la quasi-totalité des erreurs. Par conséquent, le cryptage d’une machine attaquée par les versions les plus récentes de Petya est très robuste, ce qui explique pourquoi les criminels qui se cachent derrière PetrWrap ont jeté leur dévolu sur ce malware. En outre, l’écran de verrouillage présenté aux victimes de PetrWrap ne fait aucune mention de Petya, ce qui complique encore la tâche des experts de sécurité pour évaluer la situation et identifier rapidement la famille de ransomware en cause.

 

« Nous voyons aujourd’hui les auteurs de menaces commencer à s’entre-dévorer. Nous percevons cela comme le signe d’une intensification de la concurrence entre les différents gangs de ransomware. En théorie, c’est une bonne nouvelle car le temps que les cybercriminels passent à se combattre et à s’escroquer les uns les autres est un temps qui n’est pas mis au service de leurs campagnes malveillantes. Le souci, en l’occurrence, concerne l’utilisation de PetrWrap dans des attaques ciblées. Ce n’est pas le premier cas d’attaques ciblées par un ransomware et il y a hélas fort à parier que ce ne soit pas le dernier. Nous exhortons les entreprises à accorder un maximum d’attention à la protection de leurs réseaux contre ce type de menace, dont les conséquences peuvent être véritablement désastreuses », commente Anton Ivanov, chercheur senior en sécurité dans la lutte contre les ransomwares chez Kaspersky Lab.

 

Afin de protéger les entreprises contre ce type d’attaques, les experts en sécurité de Kaspersky Lab préconisent les mesures suivantes :

 

  • Sauvegardez soigneusement et régulièrement vos données de façon à pouvoir revenir aux fichiers originaux en cas d’attaque.
  • Installez une solution de sécurité dotée de technologies de détection comportementale. Celles-ci sont capables d’intercepter un malware, notamment un ransomware, en surveillant comment il opère sur le système attaqué afin de repérer les échantillons malveillants nouveaux et encore inconnus.
  • Procédez à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes) afin d’identifier et d’éliminer toute faille de sécurité. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle.
  • Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques à leur encontre.
  • Formez votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes.
  • Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.

 

Pour en savoir plus sur PetrWrap, voir le blog disponible sur le site : https://securelist.com/blog/research/77762/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks/

Rendez-vous sur le site NoRansom.kaspersky.com pour y retrouver les outils que nous avons développés afin de venir en aide aux victimes de ransomware.

À propos de Kaspersky Lab

Kaspersky Lab est une société de cybersécurité mondiale fondée en 1997. L’expertise de Kaspersky Lab en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky Lab comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky Lab aident plus de 400 millions d'utilisateurs et 270 000 clients à protéger ce qui compte le plus pour eux.

Pour en savoir plus : www.kaspersky.fr

Pour en savoir plus : www.kaspersky.com/fr/
Pour plus d’informations sur l’actualité virale :
http://www.securelist.com
Salle de presse virtuelle Kaspersky Lab :
http://newsroom.kaspersky.eu/fr/

Blog français de Kaspersky Lab : http://blog.kaspersky.fr/

 

Hotwire pour Kaspersky Lab

Marion Delmas / Nicolas Kourganoff / Céline Hautin / Sarah Amsellem / Marion Larivière

01 43 12 55 62 / 79 / 70 / 53 / 64

KasperskyFrance@hotwirepr.com

 

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Kaspersky Lab on the Web

Virus Analyst Blogs