Petya est une souche de rançongiciel qui est apparue pour la première fois en 2016. NotPetya est une souche de logiciels malveillants qui présentait de nombreuses similitudes avec Petya mais qui se comportait différemment.
Cet article s'articule autour des points suivants :
Contenu associé
Rançongiciel
Comment prévenir les attaques par rançongiciel
Rançongiciel Maze
Rançongiciel Ryuk
Rançongiciel WannaCry
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Petya est une souche de rançongiciel qui a été identifiée pour la première fois en 2016. Comme d'autres types de rançongiciel, Petya chiffre les fichiers et les données sur l'ordinateur de la victime. Les opérateurs de Petya exigent un paiement en bitcoins avant de décrypter les fichiers et de les rendre à nouveau utilisables.
Contrairement à certaines souches de rançongiciel plus anciennes, qui ne chiffrent que certains fichiers importants afin d'extorquer la victime, Petya verrouille l'intégralité du disque dur d'un ordinateur. Plus précisément, il crypte la table des fichiers maîtres (MFT) de l'ordinateur, ce qui rend impossible l'accès à tous les fichiers du disque dur.
Petya n'a été observé que sur des ordinateurs équipés du système d'exploitation Windows.
Comme de nombreuses autres attaques de rançongiciel, Petya se propage principalement par le biais de pièces jointes à des courriels. Les attaquants envoient des courriels aux services des ressources humaines avec de fausses demandes d'emploi en pièce jointe. Les PDF joints contiennent soit un lien Dropbox infecté, soit sont en fait des fichiers exécutables déguisés - selon la méthode d'attaque utilisée.
En juin 2017, un nouveau type de rançongiciel qui ressemblait à Petya à bien des égards a infecté des organisations du monde entier. En raison de ses similitudes avec Petya, avec quelques différences cruciales, l'éditeur de sécurité Kaspersky l'a surnommé « NotPetya ». NotPetya avait impacté au moins 2 000 organisations au 28 juin 2017. La grande majorité des organisations victimes se trouvaient en Ukraine.Rançongiciel
Comme Petya, le rançongiciel NotPetya a impacté l'ensemble du disque dur de la victime. Cependant, NotPetya a chiffré l'intégralité du disque dur lui-même au lieu du MFT. Il s'est propagé soudainement et rapidement, et a rapidement infecté des réseaux entiers en utilisant diverses exploitations de vulnérabilité et des méthodes de vol de crédence.
Notamment, NotPetya a été observé utilisant la même vulnérabilité EternalBlue (CVE-2017-0144) que l'attaque mondiale WannaCry avait utilisée plus tôt en 2017. Cela lui a permis de se propager rapidement sur les réseaux sans aucune intervention des utilisateurs - contrairement à Petya, qui avait besoin que les utilisateurs ouvrent une pièce jointe d'un courriel malveillant pour que l'infection commence. Microsoft a publié un correctif pour la vulnérabilité EternalBlue en mars 2017, mais de nombreuses organisations ne l'avaient pas installé.
Il s'agit de la même chose. Divers membres de l'industrie de la sécurité ont donné différents noms à cette souche de logiciels malveillants . Parmi les noms de NotPetya figurent Petya 2.0, ExPetr et GoldenEye.
Contrairement à la plupart des rançongiciels, qui endommagent temporairement les fichiers ou en restreignent l'accès en échange d'une rançon, NotPetya semblait être purement destructeur. Il n'y a aucun moyen d'inverser les dommages qu'il a causés ; en fait, il a complètement effacé les fichiers, sans espoir de récupération.
Bien qu'il affichait toujours un message de rançon, cette tactique n'a peut-être été utilisée que pour déguiser les intentions des attaquants. Et même si les victimes de NotPetya avaient voulu payer la rançon, le message affichait une fausse adresse Bitcoin, générée de manière aléatoire. Il n'y avait aucun moyen pour les attaquants de percevoir la rançon, ce qui suggère encore que l'objectif de NotPetya était la destruction, et non le gain financier.
Les vrais rançongiciels ne sont pas conçus pour effacer complètement les fichiers et les données dans un premier temps. Bien que certains attaquants de rançongiciel puissent le faire plus tard si la rançon n'est pas payée, l'effacement immédiat des fichiers et des données ne motive pas les victimes à payer, car elles n'ont aucun espoir de récupérer leurs fichiers. La motivation de la plupart des attaquants de rançongiciel est l'argent, et non les dommages durables causés aux systèmes des victimes.
Et alors que les attaquants derrière les attaques Petya de 2016 semblaient être des cybercriminels typiques des rançongiciels, en 2018, plusieurs nations ont annoncé que le gouvernement russe était directement derrière les attaques NotPetya. Cela suggère que les attaques NotPetya pourraient avoir eu des motivations politiques.
Ces trois étapes peuvent contribuer à rendre une attaque Petya ou NotPetya beaucoup moins probable :
Pour en savoir plus, consultez le site Comment empêcher les rançongiciels.
Les organisations peuvent également adopter Cloudflare One. Cloudflare One est une plateforme qui aide les utilisateurs à se connecter en toute sécurité aux ressources dont ils ont besoin. Grâce à une approche de sécurité Zero Trust , Cloudflare One aide à empêcher et à contenir les infections par rançongiciel.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité