Cybertattaque: avec Petya, les ransomware ont la cote cet été

110

L’Inde vient d’être officiellement à son tour touchée par la cyberattaque mondiale après l’Ukraine, les Etats-Unis et des pays d’Europe. A l’origine de cette attaque, Petya, un logiciel dont le mode opératoire est semblable à Wannacry qui avait ciblé plusieurs machines en mai dernier.

Depuis son apparition, Petya s’est rapidement propagé sur les machines opérant sous Windows, plus particulièrement les versions XP, 7 et 10. Le ransomware exploite une faille sécuritaire dans le système qui permet de gérer le système à distance en passant par le système de gestion interne de Windows qui prend en charge la surveillance et le contrôle de ressources systèmes (WMIC).
Contrairement à Wannacry et d’autres ransomwares qui ciblent certains fichiers, Petya chiffre l’ensemble des données présentes sur les disques durs. Les fichiers de types Word, PowerPoint, Excel, PDF, ZIP, RAR sont les plus touchés du fait que celui-ci se fait passer pour des candidatures au sein des Dropbox des entreprises, et comporte un fichier exécutable, qui une fois ouvert, prend l’accès à distance des machines afin de les chiffrer.

Une fois en place, le logiciel procède au redémarrage des machines en affichant un message d’infection invitant les utilisateurs à payer une rançon de 300 dollars (soit 3.000 dirhams) en Bitcoin. Ceci afin d’éviter toute traçabilité de la transaction, sur le réseau Tor, très prisé par les hackeurs car offrant plus d’anonymat aux utilisateurs. A noter que si la rançon n’est pas payée au bout de 7 jours, elle est automatiquement doublée.

Le message de Petya indiquant que la rançon sera doublée au bout de 7 jours. Crédits photo : G-DATA.

Plusieurs compagnies touchées

Au moment où nous mettons en ligne, les dernières entités à avoir été touchées par Petya sont La filiale immobilière du groupe bancaire internationale BNP Paribas et le port Jawaharlal Nehru, situé en face de Bombay en Inde.

Le ransomware a infecté les machines de plusieurs banques et compagnies mondiales, notamment Mars, Nivea, Auchan, le laboratoire pharmaceutique américain Merck, le Groupe de publicité britannique WPP, la société de conteneurs APM Rotterdam en Hollande, le transporteur maritime Maersk au Danemark et en France chez la SNCF et Saint-Gobain. L’Ukraine n’a pas écarté la piste selon laquelle la Russie serait à l’origine de ce ransomware.

Qu’en est-il au Maroc ?

Pour le moment, aucun cas d’infection n’a été détecté au sein du royaume, mais cela n’éloigne en rien la possibilité d’une infection potentielle, du fait que le Maroc a été touché par Wannacry de façon minime.

Afin d’éviter les risques potentiels d’infections, mieux vaut éviter de naviguer sur des sites suspicieux et utiliser un Firewall ainsi qu’un logiciel antivirus, à effectuer des mises à jour des systèmes d’exploitation et à ne pas accepter de mails, documents ou autres fichiers de sources inconnues. Il est également recommandé de faire des copies de sauvegarde des fichiers importants sur des disques durs externes et des clés USB.