X
HPE NIMBLE STORAGE

News Partenaire

HPE NIMBLE STORAGE

En collectant des millions de données chaque seconde, les baies HPE Nimble Storage équipées de processeurs évolutifs Intel® Xeon® atteignent aujourd’hui un taux de disponibilité proche de 100%, un chiffre unique sur le marché.

Petya/NotPetya : l’exploit EternalRomance au centre du ransomware (MàJ)

Même si l’impact du ransomware semble relativement limité, l’attaque en elle-même est techniquement intéressante dans la mesure où elle utiliserait une variante de l’exploit EternalRomance notamment. 

« Nous pouvons confirmer que des versions modifiées des exploits EternalBlue & EternalRomance sont utilisés pour la propagation de la menace sur les réseaux d’entreprise ». Kaspersky est sûr de son fait et à mesure que les heures défilent, les informations sur Petya/NotPetya, qui vient aussi d’être renommé ExPetr, affluent. 

Toutefois, ce qui suit est encore à prendre avec des précautions car le ransomware est scruté à la loupe actuellement par des dizaines d’experts à travers le monde. Il semble cependant désormais presque certain que malgré certaines similitudes avec Petya (qui date de 2016), ExPetr possède en fait des fonctionnalités bien différentes. 

Par ailleurs, le ransomware (peu importe son nom) est aussi différent de la récente attaque Wanacrypt qui a fait des dégâts ces dernières semaines. C’est surtout le mode de propagation donc qui diffère : ExPetr se diffuserait uniquement via le protocole SMB de Windows mais sur un réseau local. Cela confirmerait l’exploit d’EternalRomance, lui aussi issu du leak de Shadow Brokers à la NSA. 

Propagation via MeDoc et grâce à Mimikatz

Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de ExPetr semble plus lente. En fait, elle serait survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. L’information selon laquelle MeDoc est le vecteur initial n’est pas encore confirmée et l’éditeur nie les faits. 

(Mise à jour 28/06/2017 12:26) : Microsoft confirme que le vecteur de contamination était bien le logiciel MeDoc

Les informations sur cette image ne sont pas vérifiées, mais elles sont confirmées par certains experts. Crédit @thedefensedude

Enfin, ExPetr se serait aussi propagé sur les réseaux locaux via WMIC (Windows Management Instrumentation Commandline) et en recueillant des informations grâce à l’utilisation de l’outil Mimikatz qui propose une fonction de « pass-the-hash ». Il a d’ailleurs été créé par le Français Benjamin Delpy qui confirme, après un reverse engineering, que certains fichiers ont été recompilés avec Mimikatz. 

Les trois vecteurs de propagation

Pour résumer, il existe trois vecteurs de propagation de ExPetr. Tout d’abord contre le mécanisme de mise à jour de MeDoc comme expliqué plus haut. Fortunato Guarino de Guidance précise que lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l'API CredEnumerateW. Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau:

  • en utilisant les identifiants récupérés sur la machine
  • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010)

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu'une vérification de l'intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la MFT (Master File Table). Cela rend inaccessible les fichiers présents sur la machine. Enfin, le malware s'installe à la place du secteur de démarrage de Windows afin d'afficher le message de rançon.

Inutile de payer pour recevoir la clé, le serveur de réception a été neutralisé, donc vous ne recevrez aucune clé en retour de votre paiement ! 

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-2017-0146 ; Windows SMB Remote Code Execution Vulnerability ; Microsoft CVE-2017-0147: Windows SMB Information Disclosure Vulnerability; Microsoft CVE-2017-0143: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0145: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0148: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0144: Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7,8, Windows 2008 et 2008 R2 sur le port 445 (Bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP en ce qui concerne uniquement la France.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider


À votre avis...

Quel ultra-portable choisir ?

Quel ultra-portable choisir ?

Cinq ultra-portables Windows 10 et Chromebook en test : de 409 à 1300 euros. Et de 0,75 à 1,68 kg. HP Envy x2, Dell Chromebook 3380, Acer Chromebook Spin 13, Asus NovaGo et HP Chromebook x360.

Conteneurs

Conteneurs

Docker a fait le boulot. Bon nombre de développeurs ont adopté les conteneurs, si bien que désormais tous les fournisseurs de Cloud se battent pour les attirer. Enquête sur le nouveau phénomène cloud du...

Pourquoi IBM rachète Red Hat

Pourquoi IBM rachète Red Hat

Yann Serra
Red Hat détient OpenShift, la clé qui doit permettre à IBM de maintenir, voire dépasser ses 8 % de part sur un marché du service cloud qui, dit-on, représentera en 2019 « mille milliards de dollars...

RSS
Afficher tous les dossiers

CYBER-RÉSILIENCE : une question d'anticipation - Tendances 2019 : Edge, SD-Wan, Cloud hybride, collaboratif, IA/deep learning, Blockchain, SaaS - 5G enjeux sécurité - Cloud chez soi : idée géniale ou idiote ? - Fin des mainframes ? - Langages les plus buggés - Véhicules autonomes : les débouchés pour les informaticiens...

 

ENQUÊTE IAM / IAG : identité, la question de confiance - Cloud Act : Y a-t-il un problème ? - Le reCAPTCHA de Google est-il conforme au RGPD ? - Reportage Eset à Bratislava : À l’Est du nouveau - Les objets connectés, nouvelle cible privilégiée des pirates - Dans l’armurerie de Deutsche Telekom - Portrait John Fokker, tall guy, smart guy...

 

L'IA EN ACTION : 6 exemples d'exploitation concrète - Les frameworks de Machine Learning - Pourquoi IBM rachète Red Hat ? - La fièvre des conteneurs "managés" - Les nouveaux métiers de l'IT - Rencontre avec Salwa Toko, présidente du CNNum - Quel ultra-portable choisir ? Chromebook ou terminal Windows 10 ?...

 

Afficher tous les derniers numéros

Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 


Pour gérer le risque informationnel et permettre à l'entreprise d'aller de l'avant, vous avez besoin d'une stratégie solide et d'un plan d'ordre en marche. RSA a développé ce livre blanc comme aide sur ces deux besoins. Il vous guide pas à pas pour mettre en place un programme de gestion des risques, basé sur des principes GRC éprouvés.


Plus facile à déployer et plus économique, découvrez le meilleur de la virtualisation et du PC dans un poste de travail de nouvelle génération.


Plus l'entreprise se numérise, plus le risque d'interruption s'accroît. Plus les architectures informatiques se complexifient (services de clouds publics et plateformes hybrides, mondialisation, personnalisation des TI...), plus les reprises après sinistre deviennent difficiles et coûteuses. Face à de tels enjeux, il est essentiel de se demander si l'approche traditionnelle, basée sur les reprises après sinistre, est encore véritablement appropriée.

Ce livre blanc passe en revue toutes les composantes et propose une approche originale pour ne plus subir d'interruption de services.


Avez-vous le contrôle de vos données Office 365 ? Avez-vous accès à tous les éléments dont vous avez besoin ? À première vue, la réponse est en général « Bien sûr » ou « Microsoft s’en occupe ». Mais à bien y réfléchir, en êtes-vous sûr ?


Tous les Livres Blancs
Derniers commentaires
Une fusée Falcon 9 de SpaceX portant la nouvelle capsule Crew Dragon quitte son hangar au Kennedy Space Center, en Floride, le 3 janvier 2019La Nasa a donné vendredi son feu vert pour le lancement la semaine prochaine de la nouvelle capsule pour astronautes de SpaceX, un essai grandeur nature crucial qui se fera d'abord avec un mannequin avant un vol habité dans plusieurs mois. [Lire la dépêche...]

Le confondateur de Twitter Evan Williams (à gauche), lors d'un forum technologique dans le Colorado en juillet 2015Evan Williams, cofondateur de Twitter avec Jack Dorsey, Biz Stone et Noah Glass, va quitter le conseil d'administration du réseau social à la fin du mois, selon des documents déposés auprès du gendarme américain de la Bourse. [Lire la dépêche...]

(PHOTO D'ILLUSTRATION) Un homme sur son ordinateur lors de la 11e édition du Forum International de la Cybersécurité à Lille, le 22 janvier 2019 L'internet mondial est actuellement visé par une vague d'attaques informatiques d'une ampleur inédite, qui consistent à modifier les adresses des sites internet pour les pirater, a alerté vendredi l'organisme international qui attribue les adresses internet (ICANN). [Lire la dépêche...]

L'organisme international qui attribue les adresses internet (ICANN) a averti vendredi que des attaques informatiques massives étaient en cours contre des noms de domaine internet, qui définissent les adresses des sites, dans le monde.  [Lire la dépêche...]

"Une mésange !": embusquée derrière une fenêtre de son pavillon, Lisa démarre 5 minutes d'observation des oiseaux sur ses deux mangeoires. Objectif: découvrir si la mésange préfère les graines "à emporter", si le pinson aime les repas entre amis ou si le chardonneret est un gourmand agressif. [Lire la dépêche...]

Facebook récupère en toute opacité des données personnelles sensibles et intimes, comme des informations relatives à la santé, venues d'autres applications même si l'usager n'a pas de compte Facebook, selon le Wall Street JournalFacebook récupère en toute opacité des données personnelles sensibles et intimes, comme des informations relatives à la santé, venues d'autres applications même si l'usager n'a pas de compte Facebook, selon le Wall Street Journal vendredi. [Lire la dépêche...]

Le logo de Huawei, le 18 février 2019 à ParisLes smartphones à écran pliable et les promesses de la 5G domineront le Mobile World Congress qui s'ouvre lundi à Barcelone, où le géant chinois Huawei tentera de contrer la campagne que mènent les Etats contre ses équipements. [Lire la dépêche...]

Dans la ferme verticale de Bowery Farming, les employés sont munis de tablettes pour surveiller la pousse des plantes. Tablette à la main, un oeil sur les milliers de données captées en temps réel, les salariés de Bowery Farming s'emploient, dans un grand entrepôt, à cultiver... des salades et des herbes aromatiques. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT
Nutanix propose .NEXT ON TOUR une série de 6 événements partout en France pour une découverte des dernières technologies cloud hybrides. 1ère étape à Lille (stade Pierre Mauroy) le 5 mars de 8h30 à 17h. Organisé par Nutanix.

BIG DATA

Conférences et exposition sur le Big Data les 11 et 12 mars 2019 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

Nutanix propose .NEXT ON TOUR une série de 6 événements partout en France pour une découverte des dernières technologies cloud hybrides. 2ème étape à Lyon (Rooftop 52) le 12 mars de 8h30 à 17h. Organisé par Nutanix.

IT PARTNERS

Événement du "channel" IT, télécoms et audiovisuel, la 13ème édition d'IT Partners a lieu les 13 et 14 mars 2019 à Disneyland Paris (Disney Events Arena-Ventury 1). Organisé par Reed Expositions.

Nutanix propose .NEXT ON TOUR une série de 6 événements partout en France pour une découverte des dernières technologies cloud hybrides. 3ème étape à Marseille(Golf de Marseille La salette) le 14 mars de 8h30 à 17h. Organisé par Nutanix.

RSS
Voir tout l'AgendaIT