Rançongiciel

Un nouveau malware bloque des ordinateurs dans le monde entier

| mise à jour

Un nouveau rançongiciel, probablement une variante de Petya, a paralysé de nombreuses organisations en Ukraine, en Russie et dans le reste du monde. Le malware exploiterait divers modes de propagation dont celui déjà employé par WannaCry pour lequel un patch est disponible depuis plusieurs mois.

Supermarché à Kharkiv (Ukraine) touché par le malware Petya, via Twitter @golub
Supermarché à Kharkiv (Ukraine) touché par le malware Petya, via Twitter @golub

Des entreprises et organisations du monde entier ont vu leurs opérations affectées par une probable nouvelle variante du virus Petya. Comme dans le cas de la vague WannaCry de mi-mai, le malware Petya - aussi dénommé GoldenEye - chiffre l’ensemble des fichiers de l’ordinateur Windows infecté et demande le versement d’une rançon (300 dollars en bitcoins) pour les débloquer.

Cette nouvelle attaque de rançongiciels aurait principalement touché des organisations publiques et privées en Ukraine et en Russie. A l’instar du géant russe de l’énergie Rosneft et de la centrale nucléaire de Tchernobyl contrainte de poursuivre ses contrôles de radioactivité manuellement.

De nombreuses entreprises en Europe de l’Ouest et aux Etats-Unis ont indiqué sur Twitter qu’elles étaient aussi impactées, comme le spécialiste danois du transport maritime Maersk, le géant français des matériaux Saint-Gobain, la société pharmaceutique Merck ou le géant américain de l’alimentaire Mondelez. Seule victime connue pour l’heure en Suisse, la société publicitaire Admeira (joint venture entre Swisscom, la RTS et Ringier).

Multiples modes de propagation

Probable variante du malware Petya apparu en 2016, le nouveau virus exploiterait plusieurs mécanismes pour se propager au sein du réseau des entreprises touchées. A commencer par le vecteur EternalBlue déjà employé par WannaCry qui s’appuie sur le service Windows Server Message Block et profite d’une faille patchée par Microsoft en mars dernier (MS17-010). Selon plusieurs sociétés spécialisées en cybersécurité, Petya se propagerait également via l’outil d’administration PsExec de Microsoft, après avoir «cassé» les mots de passe administrateur.

Pour se protéger, Sophos recommande ainsi aux entreprises de mettre (enfin) à jour leur système Windows et de considérer le blocage de PsExec sur les ordinateurs des utilisateurs.

Webcode
DPF8_47673