NotPetya Cyberattack

NotPetya Cyberattack

Beschreibung des Bildes PetyaA.jpg. Information
Gemeinsamen Namen NotPetya
Klasse Computerwurm
Art Wischer
Autor Unbekannt
Betroffene Betriebssysteme Windows XP bis Windows 10

NotPetya ist ein Wischer Typ von Malware (es zerstört Daten), sondern erscheint als Ransomware ( auch genannt Ransomware ) durch einen Erpresserbrief auf dem Bildschirm des infizierten Computers anzeigt. Sein Ausbreitungsmechanismus ermöglicht es, ihn als Computerwurm zu klassifizieren .

Er steht hinter einem neuen globalen Cyberangriff (dem dritten Cyberangriff in weniger als einem Monat nach WannaCry und Adylkuzz , die beide im Mai 2017 stattfanden), der auch die Aufmerksamkeit der internationalen Medien auf sich zog.

Als es am 27. Juni 2017 erschien, wurde es erstmals als neue Variante von Petya angesehen , aber kurz darauf wurde diese Hypothese von Kaspersky Lab bestritten, das der Ansicht war, es handele sich um "eine neue Ransomware, die noch nie zuvor gesehen worden war" und nannte es NotPetya, um es von letzterem zu unterscheiden.

Es betrifft alle Versionen von Microsoft Windows , von Windows XP bis Windows 10, und verwendet zur Verbreitung der Sicherheitslücke, die es ausnutzt, auf die gleiche Weise wie WannaCry , dh EternalBlue , das von der Hacker-Gruppe The Shadow der NSA gestohlen wurde Makler . Diese Windows-Sicherheitslücke wurde von Microsoft im März 2017 behoben (Security Bulletin MS17-010), aber viele Unternehmen haben ihr Betriebssystem nicht aktualisiert, daher dieser globale Cyberangriff.

Aussehen

Am 27. Juni 2017 waren Hunderttausende von Computern auf der ganzen Welt von einer massiven neuen Welle globaler Cyber-Angriffe betroffen, die "an die Wirkungsweise des WannaCry-Virus am Wochenende vom 12. bis 13. Mai 2017 erinnern" . Die ersten Infektionen der Welt begannen um 11 Uhr, die in Frankreich 4 Stunden später um 15 Uhr.

Von NotPetya betroffene Unternehmen

Es betrifft gleichzeitig:

Frankreich bleibt von NotPetya nicht verschont:

Eigenschaften

Die NotPetya-Ransomware wird jedes Mal angezeigt, wenn Sie Ihren Computer anstelle von Windows starten. So sehen wir auf einem schwarzen Bildschirm mit einem rot und englisch geschriebenen Text die folgende Meldung:

"Hoppla, Ihre Dateien wurden verschlüsselt. Wenn Sie diese Meldung sehen, sind Ihre Dateien nicht mehr zugänglich, da sie verschlüsselt wurden. Vielleicht suchen Sie nach einer Möglichkeit, Ihre Dateien zurückzubekommen, aber verschwenden Sie keine Zeit. Sie können sie wiederherstellen." Ihre Dateien ohne unseren Entschlüsselungsservice. "

Letzterer fordert daher eine Zahlung in Bitcoin , einer Kryptowährung , von 300 Dollar an und sendet diese an eine zufällige E-Mail-Adresse, um den Zugriff auf seine Dateien wiederherstellen zu können. Die zurückgegebene Adresse wurde jedoch vom deutschen E-Mail-Anbieter Posteo deaktiviert, sodass nach Zahlung des Lösegelds keine Dateien wiederhergestellt werden. Die Daten werden dann zerstört. Für Computersicherheitsexperten ist NotPetya keine Ransomware, sondern ein Wischer, mit dem Benutzerdaten zerstört werden. Ziel ist nicht die Erpressung, sondern die vollständige Zerstörung von Computerdaten.

Im Gegensatz zu WannaCry gibt es keinen " Kill Switch  ", keinen globalen Abschaltmechanismus oder kein  Entschlüsselungswerkzeug. Eine Präventionslösung wurde dennoch von Experten gefunden. In der Tat ist es möglich, Ihr System gegen eine zukünftige NotPetya-Infektion zu immunisieren, indem Sie eine Datei mit dem Namen "perfc" im Stammverzeichnis des Ordners "Windows" erstellen. Es ist diese Datei, nach der gesucht wird, bevor mit der Verschlüsselung der Computerdaten begonnen wird. Wenn diese Datei gefunden wird, findet keine Datenverschlüsselung statt. Wenn diese Datei nicht gefunden wird, wird die Arbeit fortgesetzt.

Verteilung und Aktivierung von Ransomware

Die NotPetya-Ransomware wird über eine geplante Aufgabe oder eine ausführbare Datei (.exe) aktiviert. Sobald Sie auf diese Datei klicken, stürzt der infizierte Computer ab und startet neu. Es wird ein Bluescreen des Todes angezeigt . Anschließend führt der Windows-Festplattenfehlerfinder (CHKDSK) eine falsche Überprüfung der Festplatten durch, bevor die Lösegeldmeldung auf dem Bildschirm des infizierten Computers angezeigt wird. Sobald es gelungen ist, auf einem Computer innerhalb eines Unternehmensnetzwerks Fuß zu fassen, wird NotPetya versuchen, sich über das interne Unternehmensnetzwerk zu verbreiten, um andere Computer abzufangen. Dafür hat die Malware mehrere Fäden in der Hand. Es enthält zwei von der NSA gestohlene Hacking-Tools, die von der Shadow Brokers-Gruppe veröffentlicht wurden, nämlich EternalBlue und EternalRomance (die beiden Windows- Sicherheitslücken ). Mit beiden können Sie die Kontrolle über einen Computer über das SMBv1- Protokoll übernehmen . Sie basieren auf Fehlern, die Microsoft seit mehreren Monaten behoben hat.

Wenn die SMB-Protokollroute nicht erfolgreich ist, sucht die Malware auf dem Computer nach Administratorkennwörtern und versucht gegebenenfalls, mithilfe des bekannten SMBv1-Protokolls eine Verbindung zu anderen Terminals über die TCP-Ports 139 und 445 herzustellen. Wenn ein Server oder besser ein Domänencontroller erkannt wird, wird dort eine ausführbare Datei (.exe) abgelegt, die mithilfe von Microsoft-Remoteverwaltungstools (PSEXEC und WMIC) remote betrieben wird. Der Vorteil dieser Methode besteht darin, dass Hacker Computer infizieren können, selbst wenn alle Sicherheitsupdates installiert sind.

Wenn das Unternehmensnetzwerk mit Partnern verbunden ist, hindert nichts den Virus daran, andere Organisationen über diese zu infizieren.

Ziele und Infektionsvektoren

NotPetya richtet sich wie WannaCry in erster Linie an Unternehmen und Organisationen. Aber im Gegensatz zu seinem Vorgänger verbreitet es sich nicht wild über das Internet. Laut Microsoft fand die erste Infektion in der Ukraine statt. Die Hacker verwendeten das MEDoc-Verfahren (Ukrainian Accounting Software Update), um ihren Schadcode in das Netzwerk eines lokalen Unternehmens zu übertragen. Diese Software ist in ukrainischen Unternehmen weit verbreitet. Diese Hypothese würde ihre Viralität im Land und dann in Europa erklären.

Kaspersky hat einen weiteren Infektionsvektor der NotPetya-Ransomware identifiziert, nämlich die Website der ukrainischen Stadt Bakhmut in der Region Donezk. Die Hacker haben die Homepage so ausgetrickst, dass eine als Microsoft Windows-Update getarnte ausführbare Datei heruntergeladen wurde. Hacker haben möglicherweise andere Vektoren verwendet, z. B. das Versenden von Trick-E-Mails an Opfer.

Der Entschlüsselungsprozess war völlig funktionsunfähig, da der deutsche Instant Messaging-Host Posteo die einzige E-Mail-Adresse deaktiviert hat, die Opfer zur Bestätigung der Bitcoin-Zahlung für das Lösegeld verwenden mussten. Ohne diese Bestätigung können die Hacker den Zahler nicht identifizieren und senden daher den Verschlüsselungsschlüssel, wenn sie dies beabsichtigt hatten.

Der Sicherheitsforscher Matt Suiche seinerseits glaubt, dass die Lösegeldbotschaft nur ein Köder ist, um die Medienmaschine zu befeuern, und dass das eigentliche Ziel dieses Angriffs die Sabotage ist. Nach seiner Analyse werden die Daten in der Bootzone nirgendwo gespeichert, sondern einfach durch etwas anderes ersetzt. Die Festplatte wäre daher ohnehin nicht wiederherstellbar. "Die aktuelle Version von NotPetya wurde als Wischer und nicht als Ransomware umgeschrieben", sagte der Experte.

Untersuchung und Verdacht

In Frankreich hat die Pariser Staatsanwaltschaft eine eklatante Untersuchung wegen „betrügerischen Zugangs und Wartung in automatisierten Datenverarbeitungssystemen “ eingeleitet , „die das Funktionieren dieser Systeme behindert“ und „Erpressung und versuchte Erpressung“ .

Virus Prävention

Die National Information Systems Security Agency empfiehlt nachdrücklich folgende Maßnahmen:

Im Falle einer Infektion

Im Falle einer Infektion mit dem NotPetya-Virus wird empfohlen:

Anmerkungen und Referenzen

  1. Pierre Sautreuil und Fabrice Deprez , "  Ukraine, Anatomie eines Cyberkrieges - Folge 1: Die Bedrohung des Alltags - Politik - Numerama  ", Numerama ,5. September 2017( online lesen , konsultiert am 6. September 2017 )
  2. "  Erklärung der französischen Polizei: #Petya Ransomware nutzt die gleiche Art der Verbreitung wie #WannaCry. Alle Windows-Versionen sind betroffen.  » , Auf twitter.com ,27. Juni 2017(abgerufen am 27. Juni 2017 )
  3. "  Ein globaler Cyberangriff trifft Unternehmen und Verwaltungen  " auf LEFIGARO (abgerufen am 5. April 2021 )
  4. (en-GB) Jon Henley, Korrespondent für europäische Angelegenheiten , „  Petya-Ransomware-Angriff trifft Unternehmen in ganz Europa  “ , The Guardian ,27. Juni 2017( ISSN  0261-3077 , online gelesen , konsultiert am 27. Juni 2017 )
  6. (en) Andy Greenberg, "  Die unerzählte Geschichte von NotPetya, dem verheerendsten Cyberangriff in der Geschichte  " , Wired ,22. August 2018( online lesen )
  7. Maryse Gros, "  Saint-Gobain schätzt den mit dem NotPetya-Angriff verbundenen Schaden auf 250 Millionen Euro  " , auf Le Monde ,1 st August 2017(abgerufen am 6. Dezember 2018 ) .
  8. (en-GB) „  Globaler Ransomware-Angriff sorgt für Aufruhr  “ , BBC News ,27. Juni 2017( online lesen , konsultiert am 27. Juni 2017 )
  9. (in) Charlie Osborne , "  Erstellen Sie eine einzelne Datei, um sich vor dem neuesten Ransomware-Angriff zu schützen." ZDNet  ” , ZDNet ,28. Juni 2017( online lesen , konsultiert am 28. Juni 2017 )
  10. (en-US) Mark Scott und Nicole Perlroth , "  New Cyberattack Spreads in Europa, Russland und den USA  " , The New York Times ,27. Juni 2017( ISSN  0362-4331 , online gelesen , abgerufen am 27. Juni 2017 )
  11. (en-US) „  Neue Ransomware, alte Techniken: Petya fügt Wurmfunktionen hinzu  “ , Windows-Sicherheit ,28. Juni 2017( online lesen , konsultiert am 28. Juni 2017 )
  12. (uk) "  Offizielle Erklärung der ukrainischen Cybercrime-Polizei zu 'Patient Zero'  " , auf twitter.com ,27. Juni 2017(abgerufen am 28. Juni 2017 )

Zum Thema passende Artikel