SingCERT prévient que le dernier ransomware est « plus dangereux et intrusif », mais son impact immédiat à Singapour reste incertain pour l'instant car aucune perturbation majeure n'a été signalée.
Le dernier ransomware Petya a été décrit comme étant plus vicieux que son prédécesseur, mais son l'impact à Singapour reste largement incertain pour l'instant car aucun problème majeur n'a été signalé. perturbations.
Dernières actualités sur l'Asie
- Alimenté par des téléphones d'un bon rapport qualité-prix, Xiaomi se rapproche du leader Samsung en Inde
- Voici ce que les derniers téléphones économiques de Samsung peuvent nous dire sur le Galaxy S9
- Softbank investit 120 millions de dollars dans Lemonade, une start-up d'assurance basée sur l'IA
- Singapour publie une autre mise en garde sur les crypto-monnaies
- Ransomware WannaCry: les États-Unis accusent désormais la Corée du Nord
Équipe d'intervention en cas d'urgence informatique de Singapour (SingCERT) a émis un avis Mercredi, nous avons averti les entreprises et les utilisateurs locaux que Petya, bien qu'inspiré par
Vouloir pleurer, était « plus dangereux et intrusif »."Son comportement consiste à chiffrer les tables MFT (Master File Tree) pour les partitions NTFS et à remplacer le Master Boot Enregistrez (MBR) avec un chargeur de démarrage personnalisé pour afficher une demande de rançon et empêcher les victimes de démarrer", SingCERT dit.
En un mot, Petya crypte non seulement les fichiers ciblés, mais il verrouille également l'intégralité du disque dur en utilisant certains des algorithmes cryptographiques les plus avancés pour prendre le contrôle du secteur de redémarrage principal. Il empêche l'ordinateur de charger le système d'exploitation, le rendant inutilisable. Il est également appelé PetrWrap et constitue une variante de la famille Petya.
Mike Sentonas, vice-président de la stratégie technologique de CrowdStrike, a expliqué que PetrWrap était « remarquable » car il combinait le comportement traditionnel des ransomwares avec des techniques de propagation furtives.
"PetrWrap a la capacité de se déplacer latéralement pour chiffrer d'autres systèmes de l'organisation en exploitant la même vulnérabilité EternalBlue qui a été popularisée par WannaCry le mois dernier", a déclaré Sentonas. "Il utilise ensuite une autre technique de propagation qui commence par voler les informations d'identification, puis utilise ces informations d'identification légitimes. pour infecter d'autres systèmes sur le réseau via les outils Microsoft intégrés--WMI et PSEXEC--même si une machine a été patché."
SingCERT a ajouté que le ransomware se propageait via une mascarade de courrier électronique dans des documents Microsoft Office, ce qui exécuterait le programme d'installation de Petya une fois ouvert et exécuterait le ver SMB. Il a indiqué que diverses versions de Microsoft Windows étaient considérées comme vulnérables, notamment Windows 10, Windows 8.1 et Windows Server 2016.
L'avis de SingCERT fait écho à celui des fournisseurs de protection des données et de cybersécurité, notamment Acronis qui a déclaré que les banques, les multinationales et les propriétaires d'infrastructures critiques à Singapour seraient les principales cibles du rançongiciel. Interrogé, cependant, il a déclaré qu'il n'était au courant d'aucune organisation locale ayant été touchée par Petya.
Eugene Aseev, responsable de la recherche et du développement d'Acronis à Singapour, a expliqué: « Le ransomware Petya est plus dangereux que Wannacry principalement parce qu'il infecte les systèmes corrigés, alors que WannaCry ciblait les systèmes non corrigés. systèmes.
"Petya a également un impact sur le MBR, ce qui signifie que l'ordinateur est compromis avant même que Windows puisse être chargé. Il tente également de voler les informations d'identification de l'utilisateur sur les machines infectées et utilise ces informations d'identification pour infecter davantage d'autres machines partageant des informations d'identification similaires", a déclaré Aseev.
Il a déclaré que les entreprises touchées par le ransomware seraient en mesure de restaurer leurs systèmes si elles disposaient d'un sauvegarde au niveau de l'image, mais devraient réinstaller leur système d'exploitation s'ils n'avaient qu'une sauvegarde au niveau des fichiers à récupérer leurs dossiers. Et comme ils perdraient leur configuration et leurs paramètres logiciels, leur temps de récupération serait plus long, a-t-il ajouté.
Sentonas a déclaré qu'il n'existait actuellement aucun mécanisme permettant de décrypter les fichiers chiffrés par le ransomware. "Si un point final est chiffré, la seule solution pour le moment est d'effacer et de reconstruire la machine et de restaurer les données sur l'appareil", a-t-il déclaré.
Aamir Lakhani, stratège principal en matière de sécurité chez Fortinet, a déclaré qu'il lancerait également un redémarrage du système toutes les heures, ce qui ajouterait un élément de déni de service (DoS) à l'attaque. Et même si WannaCry n’a pas vraiment réussi à générer des bénéfices financiers pour les pirates, en partie à cause du kill-switch créé à cet effet, Lakhani a noté que la charge utile de Petya serait « plus sophistiqué". Il a cependant ajouté qu'il était encore trop prématuré pour dire si ce serait plus lucratif financièrement que WannaCry.
Selon Ryan Flores, responsable principal de la recherche prospective sur les menaces chez Trend Micro pour la région Asie-Pacifique, quelque 7 500 dollars américains ont été versés sur l'adresse Bitcoin utilisée par les attaquants.
Flores a exhorté les personnes concernées à ne pas débourser la rançon, ajoutant que plusieurs organisations en Europe et en Asie avaient été touchées par le ransomware.
La production de la célèbre chocolaterie Cadbury en Tasmanie, en Australie, a été contrainte de s'arrêter mardi soir après la fermeture de l'entreprise. frappé par Petya. Le site appartenait à l'opérateur alimentaire espagnol Mondelez et produisait environ 50 000 tonnes de chocolat par an.
Mondial organisations qui auraient été touchées par le ransomware figuraient la Banque nationale d'Ukraine, l'agence de publicité britannique WPP, la société de transport danoise Maersk et la société pharmaceutique américaine Merck.
Naveen Bhat, directeur général d'Ixia pour la région Asie-Pacifique, a souligné que même si elle n'était au courant d'aucune entreprise à Singapour touchée par Petya, il serait « raisonnable de supposer que des machines ont été affectées à Singapour, même si aucune n'a été signalée ». loin". "Petya ne connaît pas les frontières nationales. Les entreprises qui n'ont pas mis à jour les derniers correctifs Windows sont vulnérables", a déclaré Bhat.