[MAJ 30 / 06] De PetYa à NotPetYa : le ransomware aux allures de WannaCrypt frapperait principalement l’Ukraine (In « MeDoc » veritas ?)

>>> Mise à jour du 30 Juin 2017 : Selon les dernières conclusions de l’équipe sécuritaire de Kaspersky Lab – >SecureList< – PetYa / NotPetYa / ExPetr – ne serait pas un ransomware mais plutôt un wiper, signifiant qu’il est doublement inutile de payer une quelconque rançon ; quoiqu’il arrive, vos données seront détruites. De plus, parmi les vecteurs d’infection évoqués dans la news d’origine ci-dessous, apparaît une nouvelle piste, via une campagne de phishing dont l’adresse mail émettrice serait « wowsmith123456@posteo.net » (actuellement bloquée par le Webmail). L’ANSSI (bulletin CERT) a actualisé son communiqué d’alerte en conséquence ; voici ses recommandations pour les administrateurs ou propriétaire de terminaux n’ayant pas encore (!!…) appliqué la mise à jour >MS17-010< de Microsoft via l’Upadate (puisque pour rappel TOUTES les versions de Windows sont concernées, gamme pro’ ou particuliers) :

Le cheminement technique du wiper NotPetYa,
avec les parades de Windows (en bleu).
  • Mettre le processus lsass.exe en PPL (protected process light) sur l’ensemble des postes de travail, des serveurs membres et des contrôleurs de domaine, mesure déployable par GPO via un modèle d’administration récupérable sur le site Web de Microsoft. Cette action rend plus difficile la récupération des empreintes en mémoire et n’est réellement efficace que depuis Windows 8.1 et 2012 R2 ;

 

  • Activer credential guard sur l’ensemble des postes de travail et des serveurs membres, ce qui rend impossible la récupération des empreintes en mémoire, sur Windows 10 et 2016 ;

 

  • Mettre les utilisateurs les plus privilégiés de l’AD dans le groupe protected users ce qui nécessite une extension de schéma AD en 2012 R2. Cette mesure empêche le stockage des empreintes des mots de passe en mémoire, y compris sur les postes Windows 7 s’ils sont à jour (ayant notamment le correctif KB2871997 appliqué) ;

 

  • Ajouter le SID des utilisateurs locaux (S-1-5-113) dans le droit d’authentification interdire l’accès à cet ordinateur par le réseau. Cette mesure peut être déployée par GPO et empêche la réutilisation des mots de passe identiques des comptes locaux ;

 

  • Activer le contrôle de comptes utilisateur (UAC) pour le compte administrateur intégré (par GPO) sur les serveurs et les postes de travail ; S’assurer que les utilisateurs n’aient pas de privilèges sur les postes de travail ou activer le contrôle de comptes utilisateur (UAC) en mode Demande de consentement sur le bureau sécurisé.

 

Selon les dernières informations officielles émanant de Microsoft, « moins de 20 000 terminaux » auraient été impactés par ce wiper. Un patch correctif ne semble pas à l’ordre des jours mais plutôt des >recommandations< de la part du géant de Redmond… A veiller ! <<<


News d’origine, du 28 Juin 2017 :

Alors que WannaCrypt nous démontrait les joies malheureuses procurées par le désormais fameux port SMB 445, la débandade sécuritaire se poursuit avec une variation du rançongiciel, à travers NotPetYa, qui, officiellement et pour l’heure, toucherait principalement l’Ukraine et la Russie.

 

Des échos de l’attaque sont apparus hier, le 27 Juin et si, au début, Kaspersky Lab. identifie le ransomware comme étant un clone de PetYa apparu fin Mars 2016 (et qui bloquait l’accès dans son entier d’un disque dur donné), suivi de GoldenEye, une – 4ième ! – variante apparue courant Décembre 2016 et toujours depuis le même pays (l’Allemagne, comme le souligne le billet du blog >MalwareBytes.com<), la suite de son étude sur le sujet confirmerait, en réalité, une base / des ressources techniques proches de celles usitées pour WannaCrypt, à savoir, les failles « EternalBlue » et « EternalRomance » (dont cette dernière correspond à l’exploitation frauduleuse du port 445) et, en plus, les outils de gestion / d’administration système Psexec et WMI (Windows Management Instrumentation).

 

Si un des ports est ouvert (TCP 445 et 139), le programme prévoit un reboot-systeme,
compris entre 10 et 60 minutes suivit de l’encryptage des fichiers (NTFS).

De là (et implicitement : si le correctif MS17-010 n’a pas été appliqué au système via l’Update de Windows…) tout partirait, selon le blog de Talos (Cisco) du fichier « Perfc.dat » qui permettrait la prolifération du ransomware via une élévation-privilèges, en interrogeant les ports TCP 139 ouverts pour pointer les terminaux potentiellement attaquables pour mieux envoyer, alors, le code infectieux. Une fois l’action malveillante aboutie (via les outils d’administrations cités ci-dessus), les fichiers sont encryptés (RSA-2048 bit) avec effaçage complet des logs. En aparté, de nombreux témoignages >sur Twitter< évoquent comme point de départ un scan banal (chkdsk) comme vecteur premier d’activation de NotPetYa.

 

S’il apparaît précipité de donner des chiffres détaillés (ça et là, bon nombre d’institutions publiques, financières sont, malheureusement, comme d’habitude, touchées, pour ne pas citer, entre-autres, la centrale de Tchernobyl qui est passé en « commande manuelle »), Kaspersky annonce aux dernières nouvelles plus de 2 000 cyberattaques liées à NotPetYa, principalement en Ukraine (60 %), en Russie (30 %), en Pologne (env. 5 %), en Italie (env. 3 %) ou encore l’Allemagne (env. 2 %). « L’industriel français Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés » indique 20minutes.fr en précisant que pour ces entreprises Françaises l’impact a été limité… Plus de peur que de mal pour l’instant, donc.

 

Tout serait parti d’un logiciel comptable (>MeDoc< une solution financière utilisée en Ukraine) qui, après une mise à jour finalement douteuse (signatures), aurait contaminé le système localement, pour finir sa course dans le réseau mondial… >Police Nationale< et >SGDSN (ANSSI)< ont publié des communiqués le jour-même sur le ransomware en préconisant, dans l’urgence, de sauvegarder en externe les données sensibles / précieuses, de déconnecter (si machine infectée) le terminal en question dans l’attente d’un patch correctif (l’autre n’ayant pas été, malheureusement, appliqué dans les temps !) à venir, de limiter en conséquence les comptes-utilisateurs (on ne donne pas un accès administrateur à un utilisateur n’en ayant légitimement aucun besoin, même si cela parait logique…), de bloquer les URLs frauduleuse sur-le-champ. Bien évidemment, il ne faut en aucun cas ouvrir une PJ douteuse ou un lien cliquable douteux, le mail restant le principal point de départ de ce type d’attaque. La Police Nationale mentionne, également, une réserve à l’égard des fichiers de type « torrent » pouvant être un vecteur infectieux propice au déploiement de NotPetYa.

Dans tout les cas, il convient de mettre à jour via Windows Update du système, si ce n’est déjà fait, le système Windows en appliquant le patch correctif MS17-010, de vérifier le port 445 surtout si vous l’avez reconfiguré via une box, par exemple et ne payez jamais la rançon (ici 300 dollars en bitcoins) puisqu’il n’y a, encore une fois, aucune garantie de restitution de vos données / fichiers ! Dans le doute, n’hésitez pas à questionner la communauté sur le sujet, dans la section dépannage d’SOSOrdi.net. Les jours à venir devraient lever le voile, gageons-le, sur la suite des événements concernant NotPetYa… A grandement veiller !

 

Source : Kaspersky Lab (blog SecureList.com) – billet du 27 Juin 2017 – PetYa.