Propagation mondiale du rançongiciel Petwrap | KPMG | CA

Propagation mondiale du rançongiciel Petwrap

Propagation mondiale du rançongiciel Petwrap

La propagation d’un rançongiciel appelé Petrwrap perturbe des organisations à l’échelle mondiale.

Contenu connexe

Une autre attaque de rançongiciel de grande envergure, déclenchée hier, perturbe des organisations à l’échelle mondiale. Comme la situation continue d’évoluer, voici un aperçu de ce que nous savons à l’heure actuelle au sujet de ce rançongiciel appelé Petrwrap.

En bref, le rançongiciel Petrwrap est conçu pour chiffrer le système de fichiers NTFS d’un système Windows infecté, empêchant ainsi les utilisateurs d’accéder aux données. Il remplace aussi l’enregistrement de démarrage principal (MBR) de l’ordinateur par un code qui affiche une demande de rançon de 300 $ en bitcoins. Le rançongiciel est conçu pour se répandre rapidement au sein d’un réseau local.

Caractéristiques de Petrwrap

  • Les codes de Petrwrap sont très semblables à ceux de Petya, une souche de rançongiciel qui s’est manifestée en mars 2016, mais il s’agit d’une souche distincte.
  • On croit que les premiers vecteurs d’infection sont des courriels hameçons qui, dans certains cas, proviennent de l’adresse d’origine « wowsmith123456@posteo[.]net ». Le courriel hameçon comportait un fichier joint (Order-20062017.doc), qui est un fichier en format RTF soigneusement conçu pour exploiter une vulnérabilité connue de Microsoft Office et de WordPad (CVE-2017-0199). Microsoft a émis, le 11 avril 2017, un programme de correction pour régler ce problème.
  • Le fait de prévisualiser ou d’ouvrir le fichier joint exploite la vulnérabilité et déclenche une séquence d’amorçage qui entraîne le téléchargement et l’exécution d’un fichier FTA « myguy.xls » provenant de l’adresse IP 84.200.16.242. Cette opération exécute alors une commande Powershell pour télécharger un fichier exécutable à partir du site french-cooking[.]com. Ce fichier se connecte à deux serveurs Web, 111.90.139[.]247 et COFFINOFFICE[.]XYZ.
  • Le rançongiciel crée une tâche planifiée pour redémarrer le système infecté entre 10 à 60 minutes après l’infection ainsi que pour écraser l’enregistrement de démarrage principal (MBR) par un chargeur personnalisé et une demande de rançon.
  • Le rançongiciel ne semble pas communiquer avec un hôte externe, mais balaie toutes les adresses IP du réseau local pour tenter de repérer des systèmes dont les ports TCP 445 et 139 utilisés par le protocole Server Message Block (SMB) de Microsoft sont ouverts. Un ordinateur dont ces ports sont ouverts est alors exploité au moyen des codes d’exploitation EternalBlue ou EternalRomance lancés le 14 avril 2017 par le groupe pirate Shadow Brokers. Ces vulnérabilités ont été corrigées par le bulletin de sécurité MS 17-010 de Microsoft et par les programmes de correction connexes émis le 14 mars 2017, ainsi que par le correctif d’urgence émis le 15 mai 2017 pour les systèmes Windows XP, Windows 8 et 2003 dont on n’offre plus de soutien.
  • Le rançongiciel récolte aussi des authentifiants à partir du processus Local Security Authority (LSASS) du système infecté, de manière semblable à celle de l’outil Mimikatz. Il utilise ces authentifiants pour exploiter d’autres systèmes qui utilisent l’interface Windows Management Instrumentation (WMI) ou l’outil PsExec. Lorsqu’un système est infecté par des authentifiants administratifs, ce logiciel malveillant peut se propager à tous les autres systèmes du réseau.
  • Au moment du redémarrage du système, le rançongiciel commence à chiffrer la table de fichiers principale des partitions du système de fichier NTFS, ainsi qu’à afficher une demande de rançon exigeant le paiement de 300 $ en bitcoins.
  • Tous les grands fournisseurs d’antivirus s’emploient à mettre à jour leurs fichiers signatures afin de déceler ce logiciel malveillant.

Mesures immédiates

  1. Corriger vos systèmes, en particulier MS17-010.
  2. Installer le logiciel antivirus le plus récent.
  3. Prendre garde aux courriels non sollicités qui exigent une action immédiate.
  4. Ne jamais cliquer sur des liens ou télécharger des pièces jointes provenant d’expéditeurs inconnus ou en apparence louches.
  5. Effectuer régulièrement des copies de sauvegarde.

KPMG entend vous aider à comprendre, à évaluer et à gérer vos risques en matière de cybersécurité. Nous continuons d’évaluer les effets du rançongiciel Petrwrap et nous vous tiendrons au courant des développements importants. Si vous avez des questions ou des préoccupations, veuillez communiquer avec Yassir Bellout ou visiter la page Web de notre Service de cybersécurité. Comme toujours, soyez extrêmement vigilant avec les courriels non sollicités et avisez votre service d’assistance technique en TI si vous recevez des courriels suspects.

Communiquez avec nous

 

Appel d’offres

 

Soumettre