NOTPETYA

Attaque du 27 Juin 2017

Introduction
• Vague massive de cyberattaques ayant touchées au
même moment, plusieurs grandes entreprises
ukrainiennes.

• « Virus faisant apparaître une demande de rançon de 300

dollars sur l'écran de leurs ordinateurs »

• Cibles :
• Banques Ukrainiennes
• Géant pétrolier Rosneft
• Mars, Nivéa et Auchan
• Saint-Gobain
• Structures gouvernementales ukrainiennes
Information sur le mode de
fonctionnement
• Utilisation d'EternalBlue, faille de la NSA rendue
publique par le groupe des Shadow Brokers

• Chiffrement des fichiers du disque dur et exigence d'une

rançon pour les déchiffrer.

• Récupère et vol des informations personnelles et des

identifiants
Mode d’action
• NotPetya utilise la faille d'EternalBlue utilisant le protocole
SMB pour se propager au sein des réseaux locaux.

• D'après Cisco, le virus utilise également :

• l'API WMI (https://msdn.microsoft.com/en-
us/library/aa393258(v=vs.85).aspx) pour se diffuser sur le réseau,
• PsExec (https://msdn.microsoft.com/en-
us/library/ee692107(v=surface.10).aspx) pour exécuter des lignes de
commande sur une machine distante.

• Le payload utilisé s'apparente à une version modifiée du

ransomware Petya.
• Ce virus simulait une vérification du disque dur Windows afin de
pouvoir chiffrer les données et le MBR
Conduite à tenir
• Lorsqu'une machine infectée est détectée, il faut
immédiatement la déconnecter du réseau pour éviter
que le malware se diffuse aux autres machines du réseau
local.

• L'adresse mail à laquelle il fallait envoyé la rançon a été

fermé rapidement, ce qui pourrait signifier qu'il n'est
dorénavant plus possible de déchiffrer les données…
EternalBlue
• Exploit développé par la NSA et révélé par le groupe
Shadow Brokers le 14 avril 2017.

• Exploit utilisant une faille de sécurité de Windows, même

si cette faille a déjà été patchée par Microsoft dans une
MàJ du 14 mars 2017.

• Etant donné la gravité de l'attaque de WannaCry,

Microsoft a décidé de publier une mise à jour de sécurité
pour les OS qu'il ne maintient plus comme Windows XP,
et Windows Server 2003.
EternalBlue (2)
• Utilisé par :
• AdylKuzz (quelques jours après WannaCry)
• NotPetya (27 Juin 2017)
• WannaCry (12 mai 2017)

• La vulnérabilité fonctionne en exploitant le Microsoft

Server Message Block (https://technet.microsoft.com/en-
us/library/hh831795(v=ws.11).aspx).

• Le SMB est un protocole permettant le partage de

fichiers sur le réseau et "autorise les applications sur un
ordinateur à lire et écrire dans des fichiers et à effectuer
des requêtes de services" qui sont sur le même réseau.