X
Le rack. La pièce essentielle de votre infrastructure informatique

News Partenaire

Le rack. La pièce essentielle de votre infrastructure informatique

Protégez et alimentez vos équipements IT grâce au rack le plus polyvalent au monde pour les environnements IT exigeants : le rack NetShelter et les bandeaux de prises rackables APC by Schneider Electric.
Choisissez les racks informatiques et les bandeaux de prises APC pour une tranquillité d'esprit totale !

Petya/NotPetya : l’exploit EternalRomance au centre du ransomware (MàJ)

Même si l’impact du ransomware semble relativement limité, l’attaque en elle-même est techniquement intéressante dans la mesure où elle utiliserait une variante de l’exploit EternalRomance notamment. 

« Nous pouvons confirmer que des versions modifiées des exploits EternalBlue & EternalRomance sont utilisés pour la propagation de la menace sur les réseaux d’entreprise ». Kaspersky est sûr de son fait et à mesure que les heures défilent, les informations sur Petya/NotPetya, qui vient aussi d’être renommé ExPetr, affluent. 

Toutefois, ce qui suit est encore à prendre avec des précautions car le ransomware est scruté à la loupe actuellement par des dizaines d’experts à travers le monde. Il semble cependant désormais presque certain que malgré certaines similitudes avec Petya (qui date de 2016), ExPetr possède en fait des fonctionnalités bien différentes. 

Par ailleurs, le ransomware (peu importe son nom) est aussi différent de la récente attaque Wanacrypt qui a fait des dégâts ces dernières semaines. C’est surtout le mode de propagation donc qui diffère : ExPetr se diffuserait uniquement via le protocole SMB de Windows mais sur un réseau local. Cela confirmerait l’exploit d’EternalRomance, lui aussi issu du leak de Shadow Brokers à la NSA. 

Propagation via MeDoc et grâce à Mimikatz

Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de ExPetr semble plus lente. En fait, elle serait survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. L’information selon laquelle MeDoc est le vecteur initial n’est pas encore confirmée et l’éditeur nie les faits. 

(Mise à jour 28/06/2017 12:26) : Microsoft confirme que le vecteur de contamination était bien le logiciel MeDoc

Les informations sur cette image ne sont pas vérifiées, mais elles sont confirmées par certains experts. Crédit @thedefensedude

Enfin, ExPetr se serait aussi propagé sur les réseaux locaux via WMIC (Windows Management Instrumentation Commandline) et en recueillant des informations grâce à l’utilisation de l’outil Mimikatz qui propose une fonction de « pass-the-hash ». Il a d’ailleurs été créé par le Français Benjamin Delpy qui confirme, après un reverse engineering, que certains fichiers ont été recompilés avec Mimikatz. 

Les trois vecteurs de propagation

Pour résumer, il existe trois vecteurs de propagation de ExPetr. Tout d’abord contre le mécanisme de mise à jour de MeDoc comme expliqué plus haut. Fortunato Guarino de Guidance précise que lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l'API CredEnumerateW. Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau:

  • en utilisant les identifiants récupérés sur la machine
  • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010)

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu'une vérification de l'intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la MFT (Master File Table). Cela rend inaccessible les fichiers présents sur la machine. Enfin, le malware s'installe à la place du secteur de démarrage de Windows afin d'afficher le message de rançon.

Inutile de payer pour recevoir la clé, le serveur de réception a été neutralisé, donc vous ne recevrez aucune clé en retour de votre paiement ! 

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-2017-0146 ; Windows SMB Remote Code Execution Vulnerability ; Microsoft CVE-2017-0147: Windows SMB Information Disclosure Vulnerability; Microsoft CVE-2017-0143: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0145: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0148: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0144: Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7,8, Windows 2008 et 2008 R2 sur le port 445 (Bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP en ce qui concerne uniquement la France.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider


A votre avis...

Comment concilier Big Data et RGPD ?

Comment concilier Big Data et RGPD ?

Alors que le jour officiel de l’entrée en vigueur du règlement européen de la protection des données (RGPD) approche, le Big Data est au cœur des préoccupations de DSI et des DPO. Protections...

RSS
Afficher tous les dossiers

GÉRER LE CLOUD HYBRIDE - Kubernetes et les Cloud CaaS - Annonces Build 2018 - Internet plus sûr avec TLS 1.3 - WiFi 802.11ax - Data Warehouse du futur - Au coeur d'Hexatrust : Gatewatcher, l'innovation chevillée au corps - Formations Blockchains - IoT pour tous avec Sens'It de Sigfox...

 

FAKEBOOK : l'affaire Cambridge Analytica/Facebook - RGPD : 1ers retours d'expérience - Cryptojacking, la nouvelle menace - Laval Virtual ou l'(AR/VR)évolution par les usages - Au coeur d'Hexatrust... Wallix : du courage et du plaisir - Google AMP - Robotic Process Automation...

 

BIG DATA : technologies, usages et futur - La 5G en ordre de bataille - Windows Server Project Honolulu - Serverless : le calcul sans serveur prêt pour la production ? - Faille memcached - Bootcamp WebForce3 - Comparatif smartphones - Rencontre avec Idriss Aberkane...

 

Afficher tous les derniers numéros
News Mag-Securs

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Adoptée le 6 juillet 2016, la directive NIS (pour Network Infrastructure Security) doit être transposée par les Etats membres de l’Union Européenne au plus tard le 9 mai 2018.

Ce Livre Blanc éclaire les enjeux et les impacts de la directive NIS sur les pratiques de cybersécurité des pays européens.

  


"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


Tous les Livres Blancs
Derniers commentaires
Un journaliste lit un exemplaire du magazine Time le 22 juin 2018 à WashingtonDe nombreuses photos et vidéos circulent sur internet depuis que Donald Trump a mis en place sa politique de tolérance zéro face à l'immigration illégale, ce qui a mené plus de 2.300 enfants à être séparés de leurs parents à la frontière entre Etats-Unis et Mexique. [Lire la dépêche...]

La Cour suprême des Etats-Unis, photographiée le 25 juin 2014, a restreint vendredi la possibilité pour les policiers d'obtenir une foule d'informations concernant un citoyen grâce aux données de géolocalisation de son téléphone portable
La Cour suprême des Etats-Unis a jugé vendredi que des policiers devaient requérir un mandat judiciaire afin d'obtenir les données de géolocalisation des téléphones portables, dans l'une des plus importantes affaires de libertés publiques de ces dernières années. [Lire la dépêche...]

YouTube, souvent critiqué pour ne pas rétribuer assez les créateurs de contenus, va leur permettre de gagner davantage via des abonnements payantsLa plateforme de vidéos YouTube, souvent critiquée pour ne pas rétribuer assez les créateurs de contenus, va leur permettre de gagner davantage via des abonnements payants, a indiqué jeudi la filiale de Google. [Lire la dépêche...]

Le constructeur américain Ford joue son avenir sur la transformation de la vieille gare de Détroit en centre En difficulté, Ford joue son avenir sur la transformation de la vieille gare de Détroit, vestige de la splendeur passée de cette terre de l'automobile américaine, en centre "high-tech" ambitionnant de devenir un temple des technologies électriques et autonomes. [Lire la dépêche...]

Un technicien s'occupe de la maintenance dans une mine de bitcoin au Québec, la monnaie électronique qui utilise la technologie de la blockchain.Un festival de musique américain va utiliser pour la première fois la "blockchain" pour tenter de lutter contre la fraude aux billets et leur revente à des prix parfois exorbitants. [Lire la dépêche...]

Une figurine est placée devant un écran de smartphone cassé montrant le logo de Facebook, à Paris le 16 mai 2018Le réseau social Facebook a annoncé jeudi le lancement d'un système pour vérifier l'authenticité des photos et des vidéos, dans le cadre de ses efforts pour contrer les campagnes de désinformation ayant affecté la plateforme. [Lire la dépêche...]

Brian Krzanich, 58 ans, ici le 8 janvier 2018 dans un salon professionnel à Las VegasLe groupe informatique Intel a annoncé jeudi la démission de son PDG, Brian Krzanich, 58 ans, à la suite d'une liaison "consentie" au sein de l'entreprise avec un membre du personnel. [Lire la dépêche...]

Instagram a indiqué le 20 juin 2018 avoir dépassé la barre du milliard d'utilisateurs actifsAvec désormais un milliard d'utilisateurs, Instagram profite de son succès auprès d'un jeune public friand de partages de photos et de vidéos, et compte amplifier le mouvement avec une nouvelle plateforme dédiée à des vidéos longues d'une heure, mordant encore davantage sur le terrain de YouTube. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

HACK IN PARIS

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.

INNOVATIVE CITY

Conférences et exposition Innovative City 2018 sur le thème "Innovation for better life & small business" les 27 et 28 juin 2018 à Nice (Acropolis). Organisé par Innovative City SAS. 
Conférence et lieu d'échanges, de business et de networking sur les enjeux du secteur du Cloud Computing à Paris (hôtel Intercontinental) le 3 juillet 2018. Organisée, dans le cadre de la Cloud Week Paris 2018 (3 au 5 juillet) par l'association EuroCloud France et Prache Media Event.

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

IFA

IFA IFA
Le plus grand salon professionnel européen de l'électronique grand public a lieu à Berlin du 31 août au 5 septembre 2018. Organisé par Messe Berlin.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI, E-Achats, Dématérialisation, Archivage en ligne,SDN/InfotoDoc, Serveurs & Applications - se tiennent du 24 au 26 septembre 2018 à Paris, Porte de Versailles (Pavillon 2.2). Organisés par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.
RSS
Voir tout l'AgendaIT