Logiciel de la décennie 2010 : Souvenirs de Petya et WannaCry

Logiciel de la décennie 2010 : Souvenirs de Petya et WannaCry

Dans ce dernier article de cette série des classiques des logiciels malveillants, nous présentons deux des plus importantes de la dernière décennie, Petya et WannaCry.

Dans ce dernier article de cette série des classiques des logiciels malveillants, nous présentons deux des plus importantes de la dernière décennie, Petya et WannaCry.

Nous commençons cette série d’articles sur les logiciels malveillants classiques en passant en revue deux menaces des années 80, c’est-à- dire le virus Brain et le ver Morris. Puis, nous continuons avec les années 90 et nous nous souvenons des virus Michelangelo et Mélissa; jusqu’aux années 2000 avec Loveletter et Conficker. Aujourd’hui, pour clore cette série, nous évoquons Petya et WannaCryptor, deux menaces qui reflètent sans aucun doute aussi l’évolution des logiciels malveillants au fil du temps.

Petya

Comme nous l’avons annoncé dans notre rapport Tendances 2016, les rançongiciels ont alors commencé à apparaître à l’avant-scène de l’activité. Cela a été démontré par les faits lorsque, en mars 2016, le logiciel de rançon Petya est apparu; une menace dirigée en particulier contre le personnel des ressources humaines des entreprises allemandes qui ont principalement affecté les ordinateurs utilisant Windows.

Le processus d’infection de la première campagne de Petya utilisait l’ingénierie sociale comme technique. Tout a commencé par un e-mail qui parvenait au personnel des ressources humaines (habitué à recevoir des e-mails d’origine inconnue) dans lequel un candidat présumé à un poste dans l’entreprise envoyait sa candidature par un e-mail qui ne suscitait pas de soupçons, vu la qualité de son écriture. Dans ce message, le « demandeur » envoyait la documentation nécessaire via Dropbox et dans un dossier nommé « job application », qui contenait un exécutable qui cachait le logiciel de rançon et demandait les droits d’administrateur. Le fait que le fichier ait été envoyé via le service Dropbox a empêché la détection de logiciels malveillants par le processus de recherche des pièces jointes.

Quels sont les effets néfastes de Petya? Dans une première phase, le logiciel malveillant chiffre le Master Boot Record (MBR), tandis que dans une deuxième phase, il affiche un écran d’erreur sous Windows, surnommé le « Blue Screen of Death », qui oblige l’ordinateur à redémarrer. Lorsqu’elle est exécutée à nouveau, la menace simule un « contrôle du disque » (chkdsk) et avertit que « l’un des disques a des erreurs et doit être réparé ». En fait, il chiffre pendant ce temps un grand pourcentage des fichiers ce qui empêche l’accès aux différentes partitions du disque dur. Ensuite, un message apparaît contenant une note vous indiquant les étapes à suivre pour restaurer le disque et que pour résoudre le problème vous devez effectuer un paiement en bitcoins.

Par la suite, Dropbox a réussi à désinfecter les fichiers contenant Petya de leurs systèmes et un utilisateur sous le pseudonyme leostone a lancé un outil gratuit qui génère une clé pour réparer les fichiers chiffrés sur la machine infectée.

Des mois plus tard, de nouvelles versions de Petya ont commencé à apparaître qui contenaient un deuxième logiciel de rançon connu sous le nom de Mischa qui chiffrait les fichiers avec différentes extensions et exigeait le paiement d’une rançon pour récupérer les fichiers. Ce deuxième rançongiciel prenait place si l’utilisateur n’acceptait pas d’accorder les droits d’administrateur au moment de l’exécution du fichier.

WannaCryptor

Comme nous l’avons publié en mai de l’année dernière : WannaCry a entraîné une large discussion en matière de sécurité dans le monde entier. WannaCryptor, également connu sous le nom de WanaCry, est un rançongiciel qui s’est répandu massivement dans le monde entier et a fait sensation en infectant quelque 200 000 ordinateurs de grandes entreprises et organisations dans 150 pays, devenant un problème d’intérêt général.

Le 12 mai 2017, les premières nouvelles de l’attaque massive de WannaCry étaient connues. Au fil des heures, l’impact et l’ampleur de WannaCry ont commencé à se refléter dans les médias du monde entier. En Angleterre, par exemple, les ordinateurs du Système national de santé ont été infectés et ont paralysé l’ensemble du système de santé. En Espagne, le 12 mai de cette même année, El Mundo a signalé que la société Telefónica avait été enlevée 85 % de son matériel.

Une des particularités de cette menace affectant les ordinateurs Windows est que pour activer le logiciel de rançon, il a exploité une vulnérabilité appelée EternalBlue/DoublePulsar (on suppose que cet exploit a été développé par la NSA et volé par le groupe Shadow Brokers en avril 2016), qui avait été corrigé par Microsoft deux mois avant le déclenchement. Ce fait, au-delà de la manière discutable dont les correctifs de sécurité sont distribués, reflète l’importance des mises à jour. De plus, l’exploitation de cette vulnérabilité a permis l’exécution à distance de commandes via Samba (SMB).

Un facteur qui a contribué au grand impact de WannaCryptor est qu’en plus d’être un rançongiciel, il présentait les caractéristiques d’un ver (ver de rançon), ce qui lui a permis d’infecter un ordinateur et de se propager rapidement dans le réseau et d’infecter d’autres appareils.

Les machines infectées étaient chiffrées et empêchaient l’accès aux fichiers. Pour les récupérer et obtenir la clé de déchiffrement, les attaquants derrière WannaCry demandaient le paiement de 2 00 $ en bitcoins pour sauver les fichiers de chiffrement.

Bien que la propagation de la première variante de WannaCryptor ait été stoppée avec la découverte d’un commutateur de mise à mort (« kill switch » par un chercheur britannique, de nouvelles variantes qui n’étaient pas si faciles à arrêter sont rapidement apparues.

Enfin, après les dégâts causés par WannaCry, les chercheurs d’ESET ont révélé qu’en mai 2018, un an après l’épidémie, l’exploit EternalBlue utilisé pour activer le rançongiciel était plus actif qu’au moment de l’épidémie de WannaCryptor, ce qui montre clairement que les dispositifs non corrigés existent toujours.

Discussion