Pour se diffuser, il utilise une combinaison de l'exploit SMB EternalBlue, utilisée par WannaCryptor pour se propager dans le réseau via PsExec.
Détectée par ESET® comme Win32/Diskcoder.C Trojan., une nouvelle attaque de ransomware liée à la famille Petya cible l’Ukraine. S'il infecte le MBR, le ransomware chiffre l’intégralité du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa.
Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec. Les experts ESET espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware s’infiltre dans le réseau. Le malware peut alors obtenir des droits d'administrateur et se propager sur d'autres ordinateurs.
Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques, les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook® par le Premier ministre adjoint de l'Ukraine, Pavlo Rozenko, qui montre qu'un ordinateur est apparemment chiffré.
La Banque Nationale d'Ukraine a averti sur son site Internet les autres banques : « Le secteur financier a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs du marché financier. »
Forbes a déclaré que bien qu'il semble y avoir des similitudes avec WannaCrypt (d'autres le décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.
Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de WannaCrypt. Il proviendrait du Groupe IB : « Si vous voyez ce texte, vos fichiers ne sont plus accessibles, car ils ont été chiffrés ... Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de payer [300 bitcoins] et acheter la clé de déchiffrement. »
Il semble que l'attaque de ransomware ne soit pas spécifique à l'Ukraine. The Independent déclare que l'Espagne et l'Inde ont également été infectées, ainsi que la compagnie de transport maritime danoise Maersk® et la société de publicité britannique WPP®.
WPP a depuis confirmé sur Twitter® qu'il a été victime d'une cyberattaque : « Les systèmes informatiques de plusieurs entreprises de WPP ont été infectés par une cyberattaque. Nous prenons les mesures appropriées et nous mettrons à jour nos systèmes au plus vite. »
ESET protège ses utilisateurs et délivre ses recommandations. Retrouvez-les en cliquant ici. Pour plus d’informations au sujet de cette cyberattaque, vous pouvez consulter l’article WeLiveSecurity en cliquant ici. Benoît Grunemwald, Directeur des Opérations, se tient également à votre entière disposition pour répondre à toutes vos questions.
CONTACT PRESSE
Lucie FONTAINE
Chargée des Relations Presse
Téléphone : 01 55 89 09 60
À propos d'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine et classé 5e éditeur mondial dans le dernier rapport du Gartner Group. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde. ESET a déjà reçu plusieurs distinctions en Allemagne notamment. Fin 2015, ESET Endpoint Security a été choisi par les lecteurs de Vogel IT Media comme le meilleur antivirus sur le marché allemand. De nombreuses autres récompenses ont distingué les solutions ESET : ESET Mobile avec Stiftung Warentest en février 2016, Prix CRN…