Journal quotidien finance-innovation daily news
Financial Year Financial Year

Journal quotidien Finyear : finance-innovation all the year

 
 
 
              



Petya Ransomware : Le point de vue de FireEye


Le 27 juin 2017, plusieurs organisations - notamment en Europe - ont signalé des perturbations importantes qu'elles attribuent à Petya ransomware. Sur la base des informations initiales, cette variante de la Petya ransomware peut se propager via l'exploit EternalBlue utilisé dans l'attaque WannaCry du mois dernier.



Les sources fiables et les rapports open source ont suggéré que le vecteur d'infection initial pour cette campagne était une mise à jour qui avait été corrompu pour la suite de logiciels MeDoc, un progiciel utilisé par de nombreuses organisations ukrainiennes. Le calendrier d'une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l'attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d'environ 12h12 UTC. En outre, le site MeDoc affiche actuellement un message d'avertissement en russe indiquant: "Sur nos serveurs se produit une attaque de virus. Nous nous excusons pour les inconvénients temporaires!"

Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes. L'analyse des artefacts associés à cette campagne est toujours en cours.

FireEye a confirmé les deux exemples suivants liés à cette attaque :
71b6a493388e7d0b40c83ce903bc6b04
E285b6ce047015943e685e6638bd837e

FireEye a mobilisé un événement de protection communautaire et continue d'enquêter sur ces rapports et l'activité de menace impliquée dans ces incidents perturbateurs. FireEye en tant que service (FaaS) s'engage activement dans le suivi des environnements clients.

Alors que la détection de FireEye s'appuie sur l'analyse comportementale des techniques malveillantes, notre équipe a créé une règle YARA pour aider les entreprises à rechercher de façon rétroactive leurs environnements pour ce malware, ainsi qu'à détecter les activités futures. Notre équipe s'est concentrée sur les techniques d'attaquants malveillants qui sont essentielles au fonctionnement du logiciel malveillant: l'utilisation du lecteur SMB, le langage de demande de rançon, les fonctions sous-jacentes et les API, et les utilitaires systèmes utilisés pour le mouvement latéral.

Contexte supplémentaire :

FireEye continue d'enquêter sur les rapports d’activités de menace impliquées dans ces incidents perturbateurs. Sur la base de notre analyse initiale, le ransomware utilisé dans cette campagne imite Petya de certaines façons et la page de redémarrage MBR est identique. Cependant, il existe des changements notables pour inclure le mécanisme de propagation et un délai d'heure pour le cryptage des fichiers, ce qui peut être destiné à permettre la propagation. Nous croyons qu'un vecteur d'infection utilisé dans cette campagne était le logiciel M.E.Doc, qui aurait été utilisé aux fins de la comptabilité fiscale en Ukraine. En outre, les charges utiles associées à la campagne présentent un comportement d'auto-propagation. En outre, il est possible que d'autres vecteurs d'infection initiaux soient également impliqués. Cette activité met en évidence l'importance des organisations qui sécurisent leurs systèmes contre les infections EternalBlue exploit et ransomware.

Nous avons détecté ces attaques sur des organisations situées dans les pays suivants: Australie, États-Unis, Pologne, Pays-Bas, Norvège, Russie, Ukraine, Inde, Danemark et Espagne. (Notez que ces documents n'ont pas été extraits de sources ouvertes, comme des rapports d'actualité).

Les médias du groupe Finyear

Lisez gratuitement :

FINYEAR

Le quotidien Finyear :
- Finyear Quotidien

Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.

Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer

Finyear magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear

BLOCKCHAIN DAILY NEWS

Le quotidien Blockchain Daily News :
- Blockchain Daily News

Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.

Sa lettre mensuelle digitale :
- The Chief Blockchain Officer

Lundi 3 Juillet 2017
Notez


Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les derniers articles publiés sur Finyear



Blockchain Daily News


Actus Nasdaq