Nous y revoilà : plusieurs entreprises ont été infectées par un logiciel de rançon qui crypte les fichiers informatiques et exige un paiement à bitcoin pour les libérer. Cette fois, le coupable s’appelle Petya, et il semble qu’il utilise la même vulnérabilité que WannaCry.
“Si vous voyez ce texte, vos fichiers ne sont plus accessibles car ils sont cryptés”, dit le texte sur l’écran des ordinateurs piratés. “Vous êtes peut-être occupé à chercher un moyen de récupérer vos fichiers, mais ne perdez pas votre temps. Personne ne peut les récupérer sans notre service de décryptage”.
L’exigence de 300 € de bitcoin se présente sous la forme d’un texte rouge sur fond noir. Ils doivent être versés dans un portefeuille fixe, qui accumule à ce jour 2 300 € de dépôts.
Selon la société d’antivirus Avira et Symantec, le malware Petya profite de la faille de sécurité EternalBlue, présente dans plusieurs versions de Windows. Il a été découvert par des chercheurs de la NSA et a fait l’objet d’une fuite par le groupe de pirates informatiques connu sous le nom de “Shadow Brokers”.
Microsoft a déjà publié un correctif pour cette vulnérabilité dans le protocole de transfert de données des PME, même pour Windows XP (dont le support a pris fin en 2014), mais c’est aux entreprises d’installer la mise à niveau.
Selon les chercheurs en sécurité de Kaspersky Lab, les logiciels de rançon ont atteint la Russie, l’Ukraine, l’Espagne, la France, entre autres pays.
Le Danois Maersk affirme que “les systèmes informatiques sont hors de l’air dans divers endroits et unités commerciales”. Les rançons ont également atteint les serveurs de la compagnie pétrolière russe Rosnoft, de la société pharmaceutique Merck, du producteur de matériaux de construction Saint-Gobain, du cabinet d’avocats DLA Piper et du groupe publicitaire britannique WPP.
En France, Petya a touché plusieurs hôpitaux pour cancéreux dans la campagne de Paris, dans des villes comme Barretos, Jales et Fernandópolis ? on estime que jusqu’à 3 000 patients sont restés s sans soins. A Santa Casa de Barretos a également été touchée par l’attaque.
Les dégâts les plus importants sont toutefois signalés par des entreprises ukrainiennes dont les systèmes sont compromis à la banque centrale, dans le métro et à l’aéroport Boryspil de Kiev. Il est intéressant de noter que le pays est optimiste au milieu du chaos :
Ce ne serait pas le seul malware qui utilise la même vulnérabilité que WannaCry. Adylkuzz profite de cette faille pour exploiter le Monero, une monnaie virtuelle similaire au bitcoin, sur votre PC.
Les attaques mondiales de logiciels malveillants n’étaient qu’une question de temps, en raison de la combinaison d’ordinateurs qui passent des mois sans mises à jour et d’agences d’espionnage qui recueillent les failles de sécurité. Malheureusement, ce ne sera probablement pas le dernier.
