le Petya Ransomware / Essuie-glace en Europe, et un premier aperçu de l’infection a été observé en Ukraine lorsque plus de 12 500 machines ont été compromises. Le pire, c’était que les infections s’étaient également propagées en Belgique, au Brésil, en Inde et aux États-Unis. Le Petya dispose de fonctionnalités de ver qui lui permettront de se répandre latéralement sur le réseau. Microsoft a publié un guide sur la manière dont il s’attaquera à Petya,
Petya Ransomware / Essuie-glace
Après la propagation de l'infection initiale, Microsoft a maintenant des preuves que quelques-unes des infections actives du logiciel ransomware ont été observées pour la première fois à partir du processus de mise à jour légitime de MEDoc. Cela en faisait clairement un cas d'attaques contre la chaîne logistique logicielle qui est devenu assez courant chez les attaquants, car il nécessite une défense de très haut niveau.
L'image ci-dessous montre comment le processus Evit.exe du MEDoc a exécuté la ligne de commande suivante. Un vecteur similaire similaire a également été mentionné par la Cyber Police ukrainienne dans la liste publique des indicateurs de compromission. Cela étant dit, le Petya est capable de
- Voler les informations d'identification et utiliser les sessions actives
- Transfert de fichiers malveillants sur des ordinateurs à l'aide des services de partage de fichiers
- Abuser des vulnérabilités SMB dans le cas de machines non corrigées.
Un mécanisme de déplacement latéral utilisant le vol d'identité et l'usurpation d'identité se produit
Tout commence avec Petya qui supprime un outil de vidage de justificatif d'identité, disponible en versions 32 bits et 64 bits. Étant donné que les utilisateurs se connectent généralement avec plusieurs comptes locaux, il est toujours possible que l'un des sessions actives soit ouvert sur plusieurs ordinateurs. Les informations d'identification volées aideront Petya à obtenir un niveau d'accès de base.
Une fois cette opération effectuée, Petya recherche sur le réseau local les connexions valides sur les ports tcp / 139 et tcp / 445. Ensuite, à l'étape suivante, il appelle le sous-réseau et, pour chaque utilisateur de sous-réseau, tcp / 139 et tcp / 445. Après avoir obtenu une réponse, le logiciel malveillant copiera alors le fichier binaire sur la machine distante en utilisant la fonctionnalité de transfert de fichier et les informations d’identité qu’il avait pu voler auparavant.
Le fichier psexex.exe est supprimé par le logiciel Ransomware à partir d'une ressource incorporée. À l'étape suivante, il analyse le réseau local pour les partages admin $, puis se réplique sur le réseau. Outre le vidage des informations d'identification, le logiciel malveillant tente également de voler vos informations d'identification en utilisant la fonction CredEnumerateW afin d'obtenir toutes les informations d'identification des autres utilisateurs du magasin d'informations d'identification.
Cryptage
Le logiciel malveillant décide de chiffrer le système en fonction du niveau de privilège du processus, en utilisant un algorithme de hachage basé sur XOR qui vérifie les valeurs de hachage et l'utilise comme exclusion de comportement.
À l'étape suivante, le Ransomware écrit dans l'enregistrement de démarrage principal, puis configure le système pour qu'il redémarre. De plus, il utilise également la fonctionnalité de tâches planifiées pour éteindre la machine après 10 minutes. Petya affiche maintenant un faux message d'erreur suivi d'un message Ransom réel, comme indiqué ci-dessous.
![9 façons de donner à vos vieux DVD égratignés une seconde chance de vivre [Don sponsorisé]](https://i.technology-news-hub.com/images/blog/9-ways-to-give-your-old-scratched-dvds-a-second-chance-to-live-sponsored-giveaway-2-p.webp "9 façons de donner à vos vieux DVD égratignés une seconde chance de vivre [Don sponsorisé]")
