GoldenEye : Une attaque massive de ransomware fait des victimes dans le monde entier

publié par Bitdefender Enterprise France, le 27 juin 2017

ALERTE BITDEFENDER

 

Mise à jour 28/06/2017 16:30 GMT + 2

Notre centre de monitoring et de surveillance interne montre que certaines infections avec #GoldenEye ont été déclenchées par la mise à jour compromise du programme de comptabilité de M.E Doc. Un certain nombre de nos clients en Ukraine, où nos solutions ont intercepté l'attaque, montrent clairement que explorer.exe lance le démarrage de ezvit.exe (Le binaire de l’application comptable) qui, à son tour, exécute rundll32.exe avec la DLL (Dynamic Link Library, en français bibliothèque de liens dynamiques) du ransomware en guise de paramètre.

 

En conclusion, nous pouvons confirmer que la mise à jour M.E Doc. est le vecteur de l'infection. Cela fait de l'Ukraine le "patient zéro" à partir duquel à eu lieu la propagation à travers les réseaux VPN, remontant l’infection aux sièges d’entreprises ou bien aux succursales et filiales.

 

Nous conseillons vivement à toutes les entreprises qui ont des bureaux en Ukraine de rester à l'affût et de surveiller les connexions VPN reliant aux filiales.

En plus de la mise à jour de M.E Doc., il existe d'autres vecteurs d'infection que nous étudions en ce moment même.

 

Mise à jour 28/06/2017 07:00 GMT + 2

Differentes preuves laissent penser que la campagne ransomware #GoldenEye/#Petya pourrait ne pas avoir pour objectif le gain financier mais plutôt la destruction de données.

 

  • L'attaque a commencé en Ukraine, en utilisant un fournisseur de services de messagerie électronique classique et faillible comme canal de communication. C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers. Mais cela a provoqué des dégâts énormes dans les entreprises à travers le monde.

 

  • Le processus de paiement et de récupération de clé manque totalement d'automatisation. Pour les hackers, cela rend presque impossible la promesse de fournir les clés de déchiffrement des données à ceux qui paient la rançon demandée.

 

Une autre preuve assez flagrante permettant de soutenir cette théorie est la mauvaise configuration du service de confirmation de paiement.

 

  • L'utilisateur doit saisir manuellement une “clé personnelle d'installation“ extrêmement longue et mixte, ce qui facilite les fautes de frappe. Normalement, les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d'automatisation qui rend le processus de paiement facile et sécurisé, presque à un niveau comparable à celui des banques en ligne.

 

Mise à jour 28/06/2017 05:00 GMT +2

L'adresse mail utilisée par les créateurs de la menace pour obtenir des confirmations de paiement a été suspendue par Posteo. Cela signifie que tous les paiements effectués pendant la nuit ne pourront pas être validés et ne recevront certainement pas la clé de décryptage. Le paiement de rançon est une pratique que nous avons toujours dénoncé, mais si toutefois vous envisagez de payer la rançon, voilà une raison de plus pour écarter l’idée. Vous perdez vos données dans tous les cas de figure, en contrepartie vous contribuerez à financer le développement de nouveaux logiciels malveillants. Malgré cela, 15 paiements ont été effectués après la suspension de l'adresse e-mail. Le portefeuille représente maintenant 3,64053686 BTC sur 40 paiements, avec une valeur nette de 9 000 $ US.

 

Mise à jour 20:30 GMT +2

Les premieres informations recueillies ont fait supposer que le vecteur de l’attaque initiale était une mise à jour compromise de l'utilitaire de comptabilité de M.E Doc. Toutefois, nous avons pu confirmer que des infections ont été constatées même chez les entreprises n’utilisant pas la solution logicielle en question. De plus, dans un message posté sur la page Facebook de l'entreprise, l’éditeur de M.E Doc. rejette ces allégations [message posté en Ukrainien].

 

Mise à jour 19:18 GMT +2

Jusqu'à présent, plusieurs entreprises ont confirmé avoir été victimes du ransomware GoldenEye / Petya : le système de surveillance de la radiation de Tchernobyl, le cabinet d'avocats DLA Piper, le laboratoire allemand Merck, plusieurs banques, un aéroport, le métro de Kiev, la société danoise de transport et d'énergie Maersk, l’agence de publicité et de communication britannique WPP et l'entreprise pétrolière russe Rosnoft. Les attaques se sont répandues en Ukraine, affectant Ukrenergo, l’entreprise étatique ukrainienne de distriibution d’énergie et plusieurs banques du pays.

 

Mise à jour 18:30 GMT +2

Les personnes à l'origine du ransomware GoldenEye / Petya ont déjà reçu 13 paiements de rançon en seulement 2 heures. Une valeur de 3 500 $ en monnaie numérique.

 

Mise à jour 18:15 GMT +2

Bitdefender Labs confirme que pour se propager d'un poste à un autre, le ransomware GoldenEye / Petya utilise entre autres l'exploit EternalBlue. Détails à venir.

 

Article original :

En Ukraine, plusieurs importantes infrastructures d’institutions ont déjà été mises hors ligne.

 

Bitdefender a identifié un ransomware qui se propage actuellement massivement à l’échelle mondiale. Les premières informations montrent que le malware responsable de l'infection est un clone quasi identique de la famille "GoldenEye Ransomware".

A l’heure actuelle, il n'y a pas d'informations sur le mode de propagation, mais les premiers indicateurs démontrent un mode de diffusion semblable à celui du Worm (ver).

Contrairement à la plupart des ransomwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l'ordinateur et une autre qui chiffre les partitions NTFS.

Ce procédé empêche les victimes de récupérer leurs données en démarrant leurs ordinateurs sur un système d’exploitation de substitution via un live USB ou live CD.

En outre, une fois que le processus de chiffrement est terminé, le ransomware a une fonction spéciale qui force un redémarrage et rend l'ordinateur inutilisable jusqu'à ce que le rançon de 300 $ soit payée.

Bitdefender bloque les échantillons actuellement connus de cette nouvelle variante de GoldenEye.

Si vous utilisez une solution de sécurité Bitdefender pour les particuliers ou les entreprises, vos ordinateurs et vos données ne sont pas en danger.

Bitdefender Enterprise France

Bitdefender est le spécialiste européen des solutions antimalware. Ses technologies proactives classées n°1 en détection et en prise de ressources par les organismes de tests indépendants protègent plus de 500 millions d’utilisateurs.