Fin 2016, Petya fait son retour en utilisant
la vulnérabilité SMB MS17-010 précédemment utilisées par Wana Decryptor (aka WannaCry).
Pas mal d'entreprises ont été touchées de par le monde qui fait penser qu'un autre vecteur a été utilisé pour apporter l'attaque au sein des entreprises pour ensuite utiliser la vulnérabilité pour se propager au sein des entreprises visées.
C'est en Ukraine et les pays de l'EST que l'attaque fait le plus mal.
Attaque-Ransomware-petya.jpg
Pas de quoi paniquer pour monsieur tout le monde.
source : https://blogs.technet.microsoft.com/mmp ... abilities/
L'analyse de Microsoft avec le mécanisme de Drop :
Petya-Ransomware-Worm.png
Le schéma d'infection de Petya en version Worm :
Petya-Killchain.jpg
source : https://blogs.technet.microsoft.com/mmp ... y-hygiene/
Le ransomware peut voler des comptes administrateurs du domaine pour infecter d'autres machines sur le réseau.
Lire la FAQ de l'attaque du Ransomware Petya pour tous les détails de l'attaque : FAQ - RAnsomware Petya
Quelques entreprises touchées par Petya :
Saint-Gobain. Le géant français des matériaux (170 000 salariés) a confirmé avoir été touché par « une cyberattaque », qui a notamment provoqué une panne de son système e-mail. Un porte-parole du groupe a affirmé que le problème était « en cours de résolution », après avoir mis à l’isolement une partie de son réseau informatique.
La SNCF. La compagnie feroviaire française a dit « subir l’attaque en cours » niant toutefois en être « victime », a insisté le porte-parole du groupe soulignant que les opérations de l’entreprise ferroviaire n’étaient pas affectées.
Merck. Le réseau informatique du géant de la pharamacie américain (68 000 salariés) a été « compromis, comme celui d’autres entreprises, dans le cadre d’un piratage global ».
Maersk. Le groupe de transport maritime (100 000 salariés), première entreprise du Danemark, a expliqué que ses systèmes informatiques étaient à l’arrêt dans plusieurs régions.
WPP Group. Le géant britannique de la publicité (180 000 salariés) a confirmé que les « systèmes informatiques dans plusieurs filiales » ont été touchés par « ce qui ressemble à une cyberattaque ».
Rosneft. Le groupe pétrolier russe Rosneft (260 000 salariés) a annoncé sur Twitter que ses serveurs avaient été touchés par une « cyberattaque de grande échelle » mais que sa production n’était pas affectée. Le site Internet de Rosneft était inaccessible.
Evraz. Le sidérurgiste russe (100 000 salariés) a aussi été visé mais a précisé que sa production n’avait pas été affectée.
DLA Piper. Le plus grand cabinet d’avocats au monde, basé à New York, a également été infecté – des messages d’employés sur les réseaux sociaux affirment que les salariés ont dû quitter les bureaux à Washington pour travailler de chez eux.
En Ukraine, le pays le plus touché, ce sont de très nombreuses entreprises et administrations de toutes tailles qui ont été paralysées par le virus. Parmi les principales victimes se trouvent notamment l’entreprise d’énergie Kyivenergo, qui a expliqué devoir couper tous ses ordinateurs, l’autre entreprise du secteur énergétique Ukrenergo, des aéroports et des administrations, y compris au plus haut niveau de l’Etat. Le distributeur français Auchan a également été touché dans le pays. Les services de plusieurs banques ukrainiennes, ainsi que des distributeurs de billets du métro de Kiev, étaient également hors service.
source : http://www.lemonde.fr/pixels/article/20 ... 08996.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.