NotPetya : un « wiper » dopé aux exploits de la NSA

Filtrer par catégorie :

30 Juin 2017 by Julia Juvigny
NotPetya
Le 27 juin 2017, moins de 2 mois après l’attaque du ransomware Wannacry qui avait touché plusieurs centaines de milliers d'ordinateurs dans plus de 150 pays, un nouveau ver a provoqué la panique dans les services informatiques de plus 2000 entreprises à travers le monde. Baptisé NotPetya, cette nouvelle attaque a initié sa distribution en Ukraine avant de se propager à travers le monde.  S’apparentant à son homologue Petya, ce dernier intègre des techniques relativement nouvelles pour ce type de menace. Le présent article dresse un état des lieux de cette attaque sophistiquée.


Un ransomware d’une puissance inégalée

Dans un article de blog, Microsoft explique que l’infection s'est déclenchée à 10h30 GMT (12h30 heure française) sur M.E.Doc, un logiciel de comptabilité et de fiscalité en Ukraine. Selon Microsoft, Cisco Talos, Kaspersky Lab et la police ukrainienne, un attaquant a compromis le serveur de mise à jour du logiciel M.E.Doc. Quand la mise à jour s'est installée chez les clients de M.E.Doc, la véritable attaque a commencé1. Une attaque de type Watering Hole2 aurait également été utilisée, notamment par le biais des sites Web "bahmut.com.ua[/]news/" et "montenegro-today[.]com".

Cette attaque s’est propagée en Ukraine notamment sur des distributeurs de tickets de métro de Kiev (les usagers ne pouvaient plus acheter de tickets par carte bancaire) ainsi qu'à l'aéroport Borispil de Kiev, où la plupart des panneaux d'affichage étaient éteints. Ce ransomware s’est ensuite diffusé dans d’autres pays européens ainsi qu’aux Etats-Unis, touchant près de 2000 entreprises selon l’éditeur d’anti-virus Kaspersky. NotPetya a également entraîné des pannes informatiques chez le groupe pharmaceutique américain Merck. En France, plusieurs entreprises dont la SNCF et Saint-Gobain sont confrontées à cette cyberattaque3.
 

supermarche
Un supermarché touché par NotPetya en Ukraine (source : Twitter)



Caractéristiques du ransomware NotPetya

Propagation. Une fois qu'une machine est infectée, NotPetya utilise plusieurs vecteurs de "propagation latérale", qui lui permettent d'attaquer les ordinateurs appartenant au même réseau que la machine déjà infectée. NotPetya se propage notamment sur un réseau local en utilisant les outils WMIC et PSExec, ainsi qu’en exploitant les vulnérabilités EternalBlue (EB) et EternalRomance (ER), qui sont des exploits de la NSA divulgués en début d’année par le groupe Shadow Broker (Cf. les articles de blog publiés par Nicolas Kovacs et Peter Stiehl). NotPetya recherche également des systèmes à compromettre en scannant sur le réseau les ports TCP/139 et TCP/4454 pour identifier le service de partage de fichiers Microsoft.

Fonctionnement. NotPetya vérifie si le compte utilisateur dispose des droits d’administration de la machine, contrôle la présence de trois antivirus majeurs du marché, et adapte son comportement en fonction. Ainsi, si Symantec et Norton sont présents, le malware ne va pas essayer de se propager par les failles de sécurité SMB, mais uniquement par les autres méthodes présentées. Si Kaspersky est présent, il écrase alors les 10 premiers secteurs du disque dur physique, incluant le Master Boot Record (MBR).

Pour le chiffrement des fichiers, il cible à minima les fichiers utilisateurs (plus de soixante extensions ciblées). Selon des conditions qui restent à déterminer, il va aussi réécrire le MBR pour rendre impossible l'accès au système et afficher sa demande de rançon lors du redémarrage. Par ailleurs, il programme le redémarrage de la machine dans un délai de 10 à 60 minutes5.
 

code_source
Extrait de code de NotPetya (Source : SecureList)

 

Il va enfin selon les conditions effacer les fichiers d'événements System, Setup, Security et Application et supprimer le journal NTFS. Il semble que le chiffrement des fichiers soit effectué quand le premier message de NotPetya de type CHKDSK6 est affiché. L'extinction de la machine concernée à ce moment-là pourrait permettre de stopper le chiffrement des fichiers, mais cela reste à confirmer. Une fois que le message demandant la rançon affiché7, les fichiers seraient déjà chiffrés.


Une infection « automatisée »

Contrairement à WannaCry, NotPetya embarque un code proche de l'outil d'audit et d'attaque Mimikatz8 sur le système compromis et réutilise des comptes de sessions existantes pour accéder à d'autres machines par le biais du partage de fichiers Microsoft. NotPetya utilise donc les mêmes outils que ceux mis en œuvre par des pentesters dans une mission de test d’intrusion interne… De quoi nous interroger sur la nature des concepteurs du malware, même si cette approche était attendue un jour par la communauté des chercheurs en sécurité. NotPetya est donc capable d’infecter des machines totalement mises à jour, démontrant ainsi la puissance de frappe de ce ransomworm.


Et si NotPetya n’était pas un ransomware ?

Les entreprises touchées par NotPetya pourraient ne jamais récupérer les systèmes de fichiers impactés. En effet, il semble que quand le MBR est écrit, c’est d’une façon irréversible.… ce qui rendra caduque la remise en état du système. Concernant les fichiers chiffrés, la clef de chiffrement AES générée puis chiffrée avec une clé publique RSA donne en théorie la capacité aux auteurs de fournir ladite clé pour effectuer le déchiffrement, sous réserve qu’ils possèdent la clé privée associée.

NotPeyta se comporte donc aussi comme un wiper, un malware qui dans ce cas détruit le MBR. De toute façon, les victimes se sont également aperçus qu’il était très difficile de réaliser un paiement afin de récupérer ses données9, sachant que l’adresse email fournie aux victimes a été bloquée et ne fonctionne plus.
 

not_delivered
Source : Twitter


Autre élément troublant : au lieu d’utiliser un portefeuille Bitcoin par victime, il n’y avait qu’une adresse unique pour tout le monde, facilement traçable. Ainsi, mercredi 28 juin, seulement 46 entreprises avaient payé la rançon de 300 dollars, pour un total anecdotique de 10.000 dollars. Ainsi il semblerait que derrière le « ransomware » NotPetya se cache peut-être un outil de compromission massif et ciblé de systèmes d’information.


Recommandations

Plusieurs bonnes pratiques s'appliquent afin d’éviter d’être infecté par NotPetya :
  • Suivre les recommandations de l’ANSSI ;
  • Mettre à jour fréquemment les antivirus sur les systèmes concernés ;
  • Apporter une vigilance particulière aux pièces jointes des courriels.

Plus spécifiquement, les mesures suivantes sont préconisées :
  • Une vaccination par la création d'un fichier vide nommé "C:\windows\perfc" (sans l'extension) est évoquée, mais ne pourrait que bloquer l'un des modes de propagation (WMIC) ;
  • L'application des correctifs du bulletin Microsoft MS17-010 empêche l'exploitation des vulnérabilités EB et ER ; la désactivation du protocole SMBv1 produit le même effet ;
  • En cas d’infection, et si cela est possible, la désactivation ou le blocage du partage de fichiers Microsoft entre tous les systèmes doit bloquer la propagation du ver.


Conclusion

Si avec Wannacry, les concepteurs de malware ont su créer un ransomware hydride, en associant un ransomware à un ver, Petya quant à lui apporte la capacité d’utiliser des techniques de propagation latérales visant les systèmes à jour, et reposant sur des faiblesses des systèmes et des mauvaises pratiques courantes dans les Systèmes d’Information. Il a enfin un comportement de wiper par l’écrasement non réversible du Master Boot Record. Les semaines qui viennent permettront de probablement de statuer si NotPetya a été créé à des fins crapuleuses ou s’il visait spécifiquement un pays ou une activité.


                            
1 https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
2 https://fr.wikipedia.org/wiki/Attaque_de_point_d%27eau
3 https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/notpetya-timeline-of-a-ransomworm/
4 http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
5 http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/CERTFR-2017-ALE-012.html
6 http://www.numerama.com/content/uploads/2017/06/petya.jpg
7 https://pbs.twimg.com/media/DDWnlIeXsAAoaCj.jpg:large
8 http://blog.gentilkiwi.com/mimikatz
9 https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b