Discussion :

[Coriolan]

NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire
Pour propager le malware

Le 27 juin, une nouvelle cyberattaque a pris par surprise les ordinateurs en Ukraine et du monde entier. Cette attaque s’est appuyée sur le malware Petya, un wiper déguisé en ransomware. Son objectif est de supprimer irrévocablement les données de ses victimes même après le paiement de la rançon de 300 $ demandée.

Selon la firme de sécurité Eset, des pirates de haut niveau ont compromis avec succès le logiciel de comptabilité M.E.Doc qui est très utilisé en Ukraine pour propager le malware. Les chercheurs en sécurité ont pu trouver une « porte dérobée » injectée par les attaquants dans l’un des modules officiels de M.E.Doc. Les pirates ont eu tout le temps nécessaire pour planifier leur attaque. En effet, le fichier ZvitPublishedObjects.dll contenant la faille a été livré aux utilisateurs de M.E.Doc depuis le 15 mai, soit six semaines avant le début de l’attaque NotPetya. En réalité, au moins trois mises à jour du logiciel avaient été publiées avec la porte dérobée depuis le 14 avril, un constat confirmé par la firme de sécurité Talos. Selon Eset, les pirates auraient eu un accès au code source de M.E.Doc depuis le début d’année.

« Comme le montre notre analyse, c’est une opération bien planifiée et bien exécutée, » a écrit Anton Cherepanov, chercheur en sécurité senior chez Eset. « Nous pensons que les attaquants ont eu accès au code source de M.E.Doc. Ils ont eu le temps d’étudier le code et incorporer une porte dérobée très furtive et astucieuse. Une installation complète de M.E.Doc a une taille de 1,5 GB et on n’a aucun moyen de vérifier qu’il y a d’autres backdoors qui ont été injectés. »

La police ukrainienne a saisi mardi les ordinateurs et les logiciels utilisés par Intellect Service, l’entreprise qui développe le logiciel comptable. Une vidéo publiée sur YouTube montre des agents de police lourdement armés en train d’investir les bureaux de l’entreprise et poser des questions aux employés. La police ukrainienne a préconisé à tous les utilisateurs du logiciel d’arrêter son utilisation et d’empêcher tous les ordinateurs avec une version installée de l'application d’accéder à Internet. Les autorités espèrent avec cette mesure contenir la propagation du malware et empêcher une nouvelle diffusion.

Depuis le début de l’attaque, les développeurs de M.E.Doc ont émis des communiqués contradictoires. Au début, ils ont informé que leurs serveurs ont été compromis, puis l’entreprise a dit qu’elle n’était pas impliquée dans cette attaque avant de déclarer qu’elle coopère désormais avec les enquêteurs. Le colonel Serhiy Demydiuk, le chef de la cyberpolice ukrainienne a informé Associated Press que l’entreprise qui développe le logiciel a une responsabilité pénale dans l’affaire. Il a en effet déclaré que « nous avons un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a pris aucune disposition. En cas de confirmation des informations initiales en notre possession, des poursuites suivront. »

Sur sa page Facebook, la police ukrainienne a informé être parvenue à empêcher une autre attaque qui aurait dû avoir lieu le 4 juillet. Cette attaque s’appuie également sur le logiciel M.E.Doc comme point de départ. « L'attaque a été arrêtée. Les serveurs ont été retirés et portent des traces de l'impact des cybercriminels, agissant évidemment depuis la Fédération de Russie », a déclaré Arsen Avakov.

Les chercheurs essaient toujours de savoir comment Notpetya s’est propagé d’un ordinateur à un ordinateur dans les réseaux infectés. Mais dès le début, le mécanisme de mise à jour de M.E.Doc a été soupçonné comme étant l’élément compromis par les pirates pour infecter furtivement les utilisateurs avec le malware.

NotPetya a utilisé des exploits de Windows développés par la NSA. Les pirates les ont combinés avec des outils pour collecter des mots de passe à partir des ordinateurs infectés et utilisés pour le partage de fichiers dans les réseaux locaux. En conséquence, le malware a pu se propager seul et infecter de nombreuses entreprises et organisations en Ukraine et dans le monde entier. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.

Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données. Jusqu’à présent, les attaquants ont reçu au moins 13 260 dollars pour fournir une clé de déchiffrement des données.

Source : Eset

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres
Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes

[Coriolan]

NotPetya : Un groupe de cybercriminels prétend avoir la clé de déchiffrement
Et la met en vente contre 220 000 euros

Deux semaines après l’attaque NotPetya, le malware continue encore de faire parler de lui. Il était considéré comme un ransomware au début et les chercheurs en sécurité se sont rendu compte qu’il s’agit bel et bien d’un wiper conçu pour causer le plus de dégâts possible en Ukraine et dans les autres régions du monde où il s’est propagé. En effet, il était impossible pour les victimes de déchiffrer leurs fichiers infectés.

Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.

Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.

« Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.

Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.

L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware

Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.

Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.

L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.

Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.

Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire pour propager le malware
Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres

[walloon]

https://ransomfree.cybereason.com/

A+
Remy

[Michael Guilloux]

L’entreprise dont les serveurs ont été compromis pour propager NotPetya menacée par un procès
pour avoir négligé sa sécurité informatique

Juscutum Attorneys Association, un cabinet d'avocats ukrainien, appelle les victimes de NotPetya à se joindre à un recours collectif contre Intellect-Service LLC, la société derrière le logiciel de comptabilité M.E.Doc, qui a servi de point de départ dans la propagation du ransomware NotPetya.

La propagation du ransomware a été en fait causée par une mise à jour malveillante du logiciel M.E.Doc, un logiciel de comptabilité populaire utilisé par les entreprises ukrainiennes. Selon plusieurs rapports de Cisco Talos, ESET, Kaspersky Lab et Microsoft entre autres, un attaquant a pu compromettre le mécanisme de mise à jour logicielle sur les serveurs de M.E.Doc et fournir une mise à jour malveillante aux utilisateurs du logiciel de comptabilité. Lorsque la mise à jour a atteint les clients de M.E.Doc, le paquet logiciel corrompu a livré le ransomware NotPetya.

Le fournisseur ukrainien de logiciels a d'abord émis un avis de sécurité dans lequel il a reconnu que ses serveurs ont été compris. Mais quelques heures plus tard, alors que le malware se propageait à toute l'Ukraine et dans d'autres pays à travers le monde en causant d'énormes dégâts irréparables, Intellect-Service a refusé d'admettre que ce sont ses serveurs qui avaient permis le déploiement de NotPetya.

Toutefois, selon les chercheurs en sécurité, ce n'est pas la première fois que M.E.Doc a mené une mise à jour logicielle malveillante qui a livré un ransomware. Une enquête ultérieure a révélé que la société Intellect-Service avait mal géré les serveurs piratés, lesquels ont été laissés sans mise à jour depuis 2013 et ont été compromis avec des portes dérobées à plusieurs reprises. Le chercheur de la firme de sécurité ESET, Anton Cherepanov, a découvert qu'un groupe de cyberespionnage connu sous le nom de TeleBots avait compromis trois fois les serveurs d'Intellect-Service et utilisé le même mécanisme de mise à jour M.E.Doc pour livrer trois familles de ransomware différentes : XData, un clone de WannaCry, et NotPetya ; le dernier s'étant fait particulièrement remarquer par l'ampleur de ses dégâts.

La police ukrainienne a saisi les ordinateurs et les logiciels utilisés par Intellect Service et préconisé à tous les clients de la société d’arrêter d'utiliser le logiciel compromis, en veillant également à ce que les ordinateurs avec une version installée de l'application n'accèdent pas à Internet. En ce moment-là, le chef de la cyberpolice ukrainienne a averti que l’entreprise a une responsabilité pénale dans l’affaire. Il a en effet déclaré qu'il y avait « un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a mis en place aucune disposition. » Ainsi, en cas de confirmation des conclusions des firmes de sécurité, des poursuites seront lancées contre la société. Le mardi, la police cybernétique ukrainienne a confirmé, dans un document officiel, que les serveurs M.E.Doc ont bien été compromis avec des portes dérobées à trois reprises.

Le cabinet d'avocats utilise donc maintenant ce document comme principal moteur de ses actions en justice. À travers les médias sociaux et la presse ukrainienne, Juscutum appelle les victimes à se joindre à un recours collectif en justice contre l’éditeur de M.E.Doc. Ce sont toutefois les victimes qui devront payer tous les frais de justice. Elles devront également fournir des preuves ou aider à recueillir des éléments de preuve pour permettre à Juscutum de défendre l’affaire en justice. En contrepartie, les victimes devront accepter un prélèvement de 30 % sur les dommages et intérêts qui leur seront versés en cas de succès.

Source : Vice

Et vous ?

Que pensez-vous de l’idée de poursuivre en justice les entreprises qui compromettent la sécurité de leurs clients à cause d’une négligence de leur sécurité informatique ?

[spawntux]

Bonjour,

En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche .

Tip top tout ca

[Stan Adkens]

Une compagnie d'assurance dit que NotPetya est un « acte de guerre » et refuse de payer
Ce qui pourrait créer un « méchant nouveau précédent »

La vaste campagne de cyberattaque qui a prévalu en juin 2017 n’a pas encore fini de parler d’elle. Mais cette fois-ci, elle implique les attributions de la cyberassurance. Zurich Insurance Group a refusé de régler 100 millions de dollars de dommages-intérêts suite à la réclamation d'assurance de Mondelez, géant états-unien de l'alimentation, relativement à une cyberattaque de NotPetya. Ce refus a poussé Mondelez à intenter une action en justice contre son assureur devant le tribunal du comté de Cook en Illinois pour refus de paiement suite à la cyberattaque de 2017 [Le siège de Mondelez est dans l'Illinois].

De l’avis des experts en sécurité, NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware, dont l’objectif est de détruire les données de ses victimes. En juin 2017, les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de l’attaque du ransomware WannaCry, une précédente campagne mondiale de cyberattaque. Se propageant comme un ver, NotPetya a infecté de nombreuses entreprises et organisations, notamment TNT, des banques ukrainiennes, des sociétés énergétiques, des aéroports et le géant maritime Maersk.

Mondelez, l'une des principales victimes de l'attaque de NotPetya à l’époque, a vu ses usines perturbées et la production s'est arrêtée alors que le personnel luttait pour reprendre le contrôle de leurs ordinateurs, selon Sensei Enterprises, Inc. Les marges bénéficiaires de Mondelez auraient été affectées à cause de la cyberattaque qui a frappé dans plusieurs pays, y compris la France dont la cellule nationale d’alertes aux menaces informatiques, CERT-FR, a pu identifier quelques capacités de propagation du wiper.

La compagnie d’assurance Zurich a opposé un refus au paiement réclamé par Mondelez au motif que l'attaque de NotPetya de juin 2017 était un acte de cyberguerre et n'était donc pas couverte par la police d’assurance de son client, d’après un article de Sensei. Toutefois, selon Mondelez, sa police d'assurance cybernétique auprès de Zurich couvrait spécifiquement « tous les risques de perte ou de dommage physique » et « tous les risques de perte ou de dommage physique aux données, programmes ou logiciels » dus à « l'introduction malveillante d'un code machine ou d'instructions ». Selon Sensei, le libellé de la police d’assurance de Mondelez est suffisamment large, non seulement, pour couvrir son cas d’attaque par le logiciel malveillant NotPetya, mais également, pour protéger l’entreprise en cas de tout attaque ou de piratage informatique.

Les dommages causés par NotPetya et relevés par la demande d'assurance de Mondelez comprenaient la perte de 1 700 serveurs et 24 000 ordinateurs portables, ainsi que de la perte de milliers de références d'utilisateurs, de commandes en souffrance et autres pertes économiques liées à l'atteinte à la sécurité. Soit des dommages d’un montant de 100 millions de dollars.

Selon Sensei, la compagnie d’assurance a indiqué, au départ, qu'elle pourrait payer 10 millions de dollars, soit environ 10 % du montant total de la réclamation, avant d’invoquer une clause spéciale de « cyberguerre » et de déclarer qu'elle ne paierait rien de la créance. Selon Zurich, la compagnie d’assurance n'est pas responsable du paiement de la créance si NotPetya était en fait « un acte hostile ou guerrier en temps de paix ou de guerre », a rapporté Sensei. Zurich considère la cyberattaque de NotPetya contre Mondelez comme une « cyberguerre », car selon elle, l’attaque a été lancée par des pirates russes travaillant directement avec le gouvernement russe pour déstabiliser l'Ukraine.

Selon Sensei, Zurich, pour soutenir sa décision, a évoqué les déclarations officielles des responsables de la sécurité nationale des gouvernements britannique, canadien et australien, qui ont tous blâmé la Russie pour la cyberattaque de février 2018. « Le gouvernement du Royaume-Uni juge que celui de Russie, spécifiquement l’armée russe, était responsable de la destructive cyberattaque au wiper NotPetya de juin 2017 », a déclaré Lord Ahmad, membre de la Chambre des lords du Royaume-Uni. La CIA avait également conclu en novembre 2017 qu’une direction générale des renseignements de l’État-Major des Forces armées de la Fédération de Russie (GRU) est à l’origine de le NotPetya, même su la Russie a nié tout lien avec NotPetya. De plus, tous ces gouvernements occidentaux ont spécifiquement noté que la première attaque de NotPetya s'est produite en Ukraine avant de s'étendre dans le monde entier pour toucher des entreprises comme Mondelez.

Toutefois, Marsh & McLennan, cabinet international de services professionnels, n’est pas du même avis que Zurich. Selon le cabinet, lorsque NotPetya a frappé des cibles non militaires qui opéraient « dans des endroits éloignés du lieu ou du sujet de la guerre », les dommages causés étaient purement économiques plutôt que de causer des pertes en vies humaines ou des blessures, et « le chaos causé par NotPetya ressemblait davantage à une action de propagande qu'à une action militaire destinée à la « coercition ou à la conquête », à laquelle l'exclusion de la guerre était destinée à résoudre. »

Les dirigeants de Mondelez consternés, ont qualifié les actions de Zurich d’actions « sans précédent », et les initiés de l'industrie de l'assurance ont eux aussi dit que les actions de Zurich pourraient créer un « méchant nouveau précédent » sur ce que couvre la cyberassurance. Le différend Mondelez-Zurich a directement impliqué le domaine de la cyberassurance et beaucoup s'inquiètent maintenant du fait que chaque fois qu'il y a une cyberattaque ou une atteinte à la protection des données, une compagnie d'assurance offrant de la cyberassurance puisse simplement prétendre qu'elle est due à un « acte de cyberguerre » et rejeter la réclamation, a écrit Sensei.

Toutefois, selon Sensei, il revient maintenant à Zurich de réunir les preuves que NotPetya était effectivement un acte de cyberguerre afin de se défendre devant le tribunal du comté de Cook en Illinois. Et ce ne sera pas chose facile selon Sensei, car bien que la Russie ait été blâmée après les cyberattaques au NotPetya, aucune preuve n’a été fournie par les entités dénonciatrices.

Le domaine de la cyberassurance est fortement indexé dans cette affaire aussi pour une autre raison. En effet, en plus du cas Mondelez, le géant maritime Maersk, après évaluation des dommages causés à son activité par NotPetya, les pertes consenties cumuleraient à environ 300 millions de dollars, tandis que le géant mondial de la logistique FedEx affirme que ses pertes seraient également de l'ordre de 300 millions.

Sensei a supposé que si des attaques similaires se produisaient chaque mois contre des grandes entreprises qui détiennent d’énormes quantités de données telles que Maersk et FedEx, ceci entrainerait la chute de toute l'industrie de l'assurance, ou du moins, l'industrie de la cyberassurance. Selon Sensei, les compagnies d’assurance pourraient commencer à refuser de souscrire des polices de cyberassurance pour de grandes organisations qui traitent des données et renseignements personnels.

Toutefois, Matthew McCabe, vice-président sénior de Marsh a déclaré, qu’ « Alors que la gravité des cyberattaques ne cesse de croître, les assureurs et les acheteurs d'assurance réexamineront la question de savoir si l'exclusion liée à la guerre devrait s'appliquer à un cyberincident ».

Source : Sensei, CPO magazine

Et vous ?

Que pensez-vous cette histoire ?
Pensez-vous que les cyberattaques, au fur et à mesure que leur gravité devient importante, vont soulever une nouvelle préoccupation concernant la cyberassurance ?
Pensez-vous que l'exclusion liée à la guerre devrait s'appliquer à un cyberincident ?

Lire aussi

Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes
Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation, et donne des recommandations pour l'éviter
Le Royaume-Uni attribue la paternité du wiper NotPetya à la Russie par voie officielle, une première en Europe
La Russie et la Chine sont les deux principales origines des cyberattaques dans le monde entier, d'après un rapport de Carbon Black
Étude : 44 % des entreprises auraient déjà été victimes d'une cyberattaque durant les 12 derniers mois, 9 % des sondés n'ont aucune certitude

[Madmac]

Il faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.

[marsupial]

Quelle bande d'escrocs ces assureurs !

[gangsoleil]

L'attitude de l'assureur ne m'étonne pas : pour le moment, ce genre de risques n'est pas directement pris en compte dans les barêmes des assurances, et il est donc assez logique qu'ils refusent de payer en se disant que s'ils payent ici, c'est la porte ouverte à d'autres règlements.

Il est probable qu'on voit les primes d'assurance augmenter si ce risque doit être couvert.

[CoderInTheDark]

Il me vient une pensée d'un grand penseur, qui aimait les français

Al Bundy (Maried with children)
"
* Insurance is like marriage.
You pay and pay but you never get anything back."