Ce mardi 27 juin, un grand nombre d'entreprises ont été frappées par des attaques basées sur un ransomware. Si le lien entre toutes ces infections n'est pas encore avéré, plusieurs d'entre elles semblent avoir été causées par le même virus.Ces attaques sont similaires au déploiement de WannaCry, au cours duquel plusieurs milliers d'ordinateurs ont été verrouillés à l'aide d'un ransomware au milieu du mois de mai dernier.Motherboard a consulté plusieurs rapports d'infection partagés sur Twitter par certaines victimes. Nous n'avons pas pu confirmer immédiatement la véracité de ces rapports, mais plusieurs firmes et chercheurs spécialisés dans la cybersécurité ont attesté de l'existence de ces attaques."Nous constatons actuellement plusieurs milliers de tentatives d'infections, une cadence comparable à celle des premières heures de WannaCry", a déclaré Costin Raiu, un chercheur en cybersécurité employé par Kaspersky Lab, au cours d'un chat avec Motherboard.Les photos publiées sur Twitter et les images qui nous ont été fournies par nos sources indiquent que les attaques reposent sur un ransomware qui réclame 300$ en bitcoin à l'aide d'un avertissement en rouge sur noir, façon BIOS en plus inquiétant :"Si vous voyez ce texte, vos fichiers ne sont plus accessibles parce qu'ils sont chiffrés. Peut-être que vous êtes en train de chercher un moyen de retrouver vos fichiers, mais ne perdez pas votre temps. Personne ne peut retrouver vos fichiers sans notre service de déchiffrement."Comme d'autres types de ransomwares, le programme malveillant qui a été lâché sur le réseau ce mardi 27 juin chiffre les fichiers des systèmes qu'il infecte et promet de dévoiler la clé de déchiffrement en échange d'une rançon en bitcoin.D'après un tweet de l'entreprise d'antivirus Avira, les attaques Petya ont pris appui sur EternalBlue, une faille de sécurité révélée en avril dernier par un groupe de hackers connu sous le nom de The Shadow Brokers. EternalBlue avait déjà été utilisée par WannaCry ; elle est basée sur une vulnérabilité dans le protocole de transfert de données SMB (Server Message Block). Après l'attaque, Microsoft a diffusé un patch correctif. Malheureusement, il appartient à ses clients de l'appliquer.
Une image du ransomware telle qu'elle a été fournie à MotherboardLe journal espagnol El Confidencial a rapporté que des hackers avaient frappé les bureaux madrilènes de DLA Piper, un cabinet d'avocats international. Une source proche de l'attaque a également fait parvenir une photographie d'un ordinateur infecté à Motherboard : d'après les informations de cette source, cet ordinateur est installé dans les bureaux de DLA Piper à Washington.Les bureaux de Madrid et de Washington n'ont pas donné suite à nos appels.Des hackers semblent également s'être attaqués à un groupe média ukrainien. C'est 24tv, l'un des titres du groupe, qui a révélé l'information sur son site internet.Les pirates qui contrôlent l'adresse email mentionnée dans le message du ransomware n'ont pas répondu à nos demandes de commentaire.Les chercheurs du Kaspersky Lab affirment que le ransomware a frappé des cibles russes, ukrainiennes, espagnoles et françaises, entre autres. Des personnes venues de nombreux pays se sont présentées comme des témoins de l'attaque sur Twitter ; à les croire, une vaste gamme d'industries ont été touchées. Plusieurs entreprises basées dans le monde entier ont également fait part de pannes informatiques.Chris Sistrunk, un chercheur en cybersécurité pour Mandiant, a déclaré que nous faisons peut-être face à "une nouvelle attaque globale".
Publicité
Pour Costin Raiu, le malware qui a été utilisé pour ces attaques vient de la même branche que Petya et Petrwrap, un type de ransomware bien connu. Les chercheurs de MalwareHunterTeam, un groupe spécialisé dans l'étude des ransomwares, ont affirmé à Motherboard dans un message Twitter qu'ils pensaient eux aussi que le logiciel malveillant provenait de la famille de malwares identifiée par Raiu.
Publicité