Point sur l'attaque Ransomware

De nouvelles variantes du ransomware Petya (ou GoldenEye ou encore PetrWrap) étaient derrière la cyberattaque mondiale massive qui s’est propagée hier.

La nouveauté de cette attaque, est qu’elle intègre à présent l’exploit EternalBlue comme moyen de propagation au sein d’un réseau ciblé. L’exploit en question attaque le service Windows Server Message Block (SMB), qui sert à partager des fichiers et des imprimantes sur les réseaux locaux. Microsoft a traité ce problème dans son bulletin MS17-010 en mars dernier, mais l’exploit s’est avéré essentiel à la diffusion de WannaCry.

Petya tente aussi de se diffuser en interne en cassant les mots de passe administrateurs et en infectant d’autres ordinateurs sur le réseau ou des partages de réseau sur d’autres ordinateurs. Pour infecter les ordinateurs distants, il se diffuse avec un outil d’administration distant officiel intégré, appelé PsExec, provenant de la suite SysInternals de Microsoft.

Voici des recommandations pour s’en prémunir et confirme la protection offerte par Sophos pour bloquer cette attaque,