Que sont Petya et NotPetya ?

Petya est une souche de rançongiciel qui est apparue pour la première fois en 2016. NotPetya est une souche de logiciels malveillants qui présentait de nombreuses similitudes avec Petya mais qui se comportait différemment.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le rançongiciel Petya
  • Décrire les différences entre Petya et NotPetya
  • Apprenez à empêcher les infections par Petya et NotPetya.

Copier le lien de l'article

Qu'est-ce que le rançongiciel Petya ?

Petya est une souche de rançongiciel qui a été identifiée pour la première fois en 2016. Comme d'autres types de rançongiciel, Petya chiffre les fichiers et les données sur l'ordinateur de la victime. Les opérateurs de Petya exigent un paiement en bitcoins avant de décrypter les fichiers et de les rendre à nouveau utilisables.

Contrairement à certaines souches de rançongiciel plus anciennes, qui ne chiffrent que certains fichiers importants afin d'extorquer la victime, Petya verrouille l'intégralité du disque dur d'un ordinateur. Plus précisément, il crypte la table des fichiers maîtres (MFT) de l'ordinateur, ce qui rend impossible l'accès à tous les fichiers du disque dur.

Petya n'a été observé que sur des ordinateurs équipés du système d'exploitation Windows.

Comment le rançongiciel Petya se propage-t-il ?

Comme de nombreuses autres attaques de rançongiciel, Petya se propage principalement par le biais de pièces jointes à des courriels. Les attaquants envoient des courriels aux services des ressources humaines avec de fausses demandes d'emploi en pièce jointe. Les PDF joints contiennent soit un lien Dropbox infecté, soit sont en fait des fichiers exécutables déguisés - selon la méthode d'attaque utilisée.

Qu'est-ce que NotPetya ?

En juin 2017, un nouveau type de rançongiciel qui ressemblait à Petya à bien des égards a infecté des organisations du monde entier. En raison de ses similitudes avec Petya, avec quelques différences cruciales, l'éditeur de sécurité Kaspersky l'a surnommé « NotPetya ». NotPetya avait impacté au moins 2 000 organisations au 28 juin 2017. La grande majorité des organisations victimes se trouvaient en Ukraine.Rançongiciel

Comme Petya, le rançongiciel NotPetya a impacté l'ensemble du disque dur de la victime. Cependant, NotPetya a chiffré l'intégralité du disque dur lui-même au lieu du MFT. Il s'est propagé soudainement et rapidement, et a rapidement infecté des réseaux entiers en utilisant diverses exploitations de vulnérabilité et des méthodes de vol de crédence.

Notamment, NotPetya a été observé utilisant la même vulnérabilité EternalBlue (CVE-2017-0144) que l'attaque mondiale WannaCry avait utilisée plus tôt en 2017. Cela lui a permis de se propager rapidement sur les réseaux sans aucune intervention des utilisateurs - contrairement à Petya, qui avait besoin que les utilisateurs ouvrent une pièce jointe d'un courriel malveillant pour que l'infection commence. Microsoft a publié un correctif pour la vulnérabilité EternalBlue en mars 2017, mais de nombreuses organisations ne l'avaient pas installé.

NotPetya est-il différent de Petya 2.0 ?

Il s'agit de la même chose. Divers membres de l'industrie de la sécurité ont donné différents noms à cette souche de logiciels malveillants . Parmi les noms de NotPetya figurent Petya 2.0, ExPetr et GoldenEye.

NotPetya était-il en fait un rançongiciel ?

Contrairement à la plupart des rançongiciels, qui endommagent temporairement les fichiers ou en restreignent l'accès en échange d'une rançon, NotPetya semblait être purement destructeur. Il n'y a aucun moyen d'inverser les dommages qu'il a causés ; en fait, il a complètement effacé les fichiers, sans espoir de récupération.

Bien qu'il affichait toujours un message de rançon, cette tactique n'a peut-être été utilisée que pour déguiser les intentions des attaquants. Et même si les victimes de NotPetya avaient voulu payer la rançon, le message affichait une fausse adresse Bitcoin, générée de manière aléatoire. Il n'y avait aucun moyen pour les attaquants de percevoir la rançon, ce qui suggère encore que l'objectif de NotPetya était la destruction, et non le gain financier.

Les vrais rançongiciels ne sont pas conçus pour effacer complètement les fichiers et les données dans un premier temps. Bien que certains attaquants de rançongiciel puissent le faire plus tard si la rançon n'est pas payée, l'effacement immédiat des fichiers et des données ne motive pas les victimes à payer, car elles n'ont aucun espoir de récupérer leurs fichiers. La motivation de la plupart des attaquants de rançongiciel est l'argent, et non les dommages durables causés aux systèmes des victimes.

Et alors que les attaquants derrière les attaques Petya de 2016 semblaient être des cybercriminels typiques des rançongiciels, en 2018, plusieurs nations ont annoncé que le gouvernement russe était directement derrière les attaques NotPetya. Cela suggère que les attaques NotPetya pourraient avoir eu des motivations politiques.

Comment prévenir les infections par Petya et NotPetya ?

Ces trois étapes peuvent contribuer à rendre une attaque Petya ou NotPetya beaucoup moins probable :

  • Renforcement des pratiques de sécurité des e-mails : La plupart des attaques Petya, et certaines attaques NotPetya, ont commencé par une pièce jointe infectée. Pour éviter cela, les organisations peuvent analyser les courriels à la recherche de logiciels malveillants, bloquer les pièces jointes des courriels provenant de sources externes et former les utilisateurs à ne pas ouvrir les pièces jointes non fiables.
  • Corrections régulières des vulnérabilités : L'exploit EternalBlue utilisé par NotPetya disposait d'un correctif plusieurs mois avant que les attaques n'aient lieu. Les attaques de rançongiciel en général exploitent souvent les vulnérabilités logicielles pour pénétrer dans un réseau ou se déplacer latéralement au sein de celui-ci. La mise à jour des logiciels et la correction des vulnérabilités peuvent contribuer à éliminer ces vecteurs d'attaque .
  • Sauvegarde des fichiers et des données : Conserver des copies de sauvegarde des fichiers importants n'empêche pas les infections par rançongiciel, mais cela aide une organisation à se rétablir plus rapidement après une telle attaque. Dans le cas d'une attaque qui efface les fichiers comme NotPetya, cela peut en fait être le seul moyen de récupérer les fichiers.

Pour en savoir plus, consultez le site Comment empêcher les rançongiciels.

Les organisations peuvent également adopter Cloudflare One. Cloudflare One est une plateforme qui aide les utilisateurs à se connecter en toute sécurité aux ressources dont ils ont besoin. Grâce à une approche de sécurité Zero Trust , Cloudflare One aide à empêcher et à contenir les infections par rançongiciel.

Service commercial