NotPetya, analyse d'une cyber-onde de choc dont l'écho persiste 6 ans après...

Secu

NotPetya : un jalon dans l’histoire de la cyberguerre

Par La rédaction, publié le 11 juillet 2023

Six années se sont écoulées depuis la tristement célèbre cyberattaque NotPetya et l’onde de choc qu’elle a provoquée dans le paysage de la cybersécurité. Initialement déguisée en ransomware, NotPetya a rapidement révélé sa véritable nature destructrice, propageant ses dommages dans les entreprises et les gouvernements du monde entier et entraînant des milliards de dollars de pertes. Six ans plus tard, l’impact de cette attaque se fait toujours sentir et les enseignements tirés continuent à influencer notre approche de la cybersécurité.


Par Tom Gol, CTO for Research, Armis


NotPetya… Dans l’univers de la cybersécurité, la menace a laissé des traces et fait encore frémir les cyber-experts qui s’y sont confrontés et les entreprises qui en ont été affectées. 

NotPetya est apparu pour la première fois en juin 2017, date à laquelle l’attaque s’est rapidement répandue dans différents pays, ciblant principalement des organisations situées en Ukraine. En fait, cette cybermenace ne s’est pas limitée à une région spécifique, mais a rapidement infecté des systèmes dans le monde entier.

Le malware était initialement déguisé en attaque de ransomware. Les victimes se voyaient présenter une note de rançon exigeant un paiement en bitcoins pour déverrouiller leurs fichiers cryptés. Il est rapidement devenu évident toutefois que la véritable intention de NotPetya n’était pas le gain financier, mais plutôt des perturbations et une destruction à grande échelle.

Analyse technique

NotPetya a utilisé une combinaison de techniques avancées et a exploité des vulnérabilités connues pour se propager et faire des ravages.

À la base, l’attaque reposait sur l’exploit EternalBlue (CVE-2017-0144) qui utilisait une vulnérabilité du protocole SMB des systèmes Windows. Cet exploit, développé à l’origine par la National Security Agency (NSA) et divulgué par la suite par le groupe de hackers Shadow Brokers, permettait l’exécution de code à distance sans interaction de l’utilisateur.

En infectant un système, NotPetya passe par plusieurs étapes. Le malware exploite d’abord la vulnérabilité EternalBlue pour obtenir un accès initial, puis utilise des techniques de vol d’identité, avec des outils tels que Mimikatz, pour augmenter les privilèges d’accès et se déplacer latéralement au sein du réseau. NotPetya s’appuie également sur des outils d’administration légitimes, dont PsExec, pour se propager vers les systèmes interconnectés.


À LIRE AUSSI :

L’objectif premier de NotPetya était de perturber les opérations et de détruire des données et non de générer des gains financiers. Une fois à l’intérieur d’un réseau, le malware écrase l’enregistrement d’amorçage principal (le MBR ou Master Boot Record) et la table principale des fichiers (la MFT ou Master File Table), ce qui rend les systèmes touchés inutilisables. NotPetya affiche ensuite une note de rançon exigeant un paiement en bitcoins pour pouvoir obtenir la clé de décryptage. Or l’adresse e-mail des attaquants avait été fermée. Il était donc impossible de communiquer avec eux pour récupérer les données.

Fait intéressant, le correctif de sécurité pour EternalBlue avait été publié plusieurs mois avant l’attaque. Les organisations ayant appliqué avec diligence les mises à jour de sécurité disponibles pour corriger leurs systèmes ont donc énormément réduit leur vulnérabilité face à cette attaque très spécifique.

Calcul de l’impact

L’impact de NotPetya a été ressenti dans le monde entier. Des entreprises et des gouvernements dans plus de 60 pays ont été touchés. Certaines entreprises mondiales ont subi d’importantes pertes financières, notamment Maersk, le géant du transport maritime, qui a enregistré des dommages allant jusqu’à 300 millions de dollars. Même des infrastructures critiques, dont la centrale nucléaire de Tchernobyl, ont été perturbées, ce qui donne une idée de l’ampleur de l’attaque.

L’un des problèmes mis en lumière par l’attaque de NotPetya est la difficulté à distinguer entre cyberattaques et actes de guerre. Dans une affaire associée, Zurich Insurance Group a refusé de payer une demande d’indemnisation de 100 millions de dollars pour des dommages dus à NotPetya, arguant que le ransomware était un acte de guerre non couvert par la police d’assurance. Un juge a cependant rejeté cet argument et déclaré que la clause invoquée par Zurich Insurance, et qui interdisait toute indemnisation pour des pertes dues à des actions hostiles ou belliqueuses, ne s’appliquait pas à NotPetya.

Six ans plus tard – encore « Eternal »

Selon une analyse réalisée par Armis Collective Asset Intelligence, le nombre d’ordinateurs encore susceptibles d’être attaqués via EternalBlue est extrêmement faible. Ce résultat n’est pas surprenant du fait de la nature très publique de NotPetya et dans la mesure où il s’agit d’une vulnérabilité de Windows. Cependant, 74 % environ des organisations comptent encore dans leur réseau au moins un dispositif vulnérable à EternalBlue. Les tentatives d’exploit de cette vulnérabilité continuent. (Armis détecte chaque jour entre quelques centaines et quelques milliers de tentatives d’exploit basées sur EternalBlue.) L’application du correctif reste donc d’actualité.

Effet transformateur sur la cyberguerre

NotPetya a marqué un tournant dans le domaine de la cyberguerre et modifié notre compréhension des cyberattaques. Le malware a brouillé les limites entre ransomwares traditionnels et cyber opérations parrainées par des États. Son objectif premier n’était pas le gain financier, mais la perturbation d’infrastructures critiques et la destruction de données. NotPetya a montré que des logiciels malveillants, hautement destructeurs, pouvaient provoquer des perturbations économiques et opérationnelles à grande échelle et représentaient un risque majeur pour la sécurité et la stabilité mondiale.

Les enseignements

L’attaque de NotPetya est porteuse d’enseignements essentiels qui, encore aujourd’hui, sont d’actualité.

Le plus important de ces enseignements a trait à l’importance d’une gestion efficace des vulnérabilités. NotPetya a exploité une vulnérabilité connue, ce qui souligne l’importance d’appliquer rapidement les correctifs de sécurité et de procéder à des évaluations de vulnérabilité régulières. Une attitude proactive vis-à-vis de l’atténuation des vulnérabilités connues peut considérablement réduire les risques présentés par de telles attaques.

Autre enseignement essentiel, l’importance de la visibilité des actifs. La mise à jour permanente d’un inventaire des systèmes en réseau permet d’identifier les points faibles et de prendre des mesures proactives pour renforcer les défenses. Avec une parfaite compréhension de leur écosystème numérique, les organisations peuvent répondre rapidement et efficacement aux menaces émergentes.

Enfin, la segmentation du réseau joue un rôle essentiel pour limiter l’impact des cyberattaques. Diviser les réseaux en segments isolés permet de limiter le mouvement latéral des malwares et empêche ainsi la propagation d’attaques telles que NotPetya.

NotPetya reste un rappel brutal de l’évolution des menaces auxquelles nous sommes confrontés. Six ans plus tard, l’impact de cette attaque dévastatrice et ses enseignements sont toujours d’actualité. Les organisations doivent investir dans de solides pratiques de cybersécurité, notamment dans la visibilité des actifs, la gestion des vulnérabilités et la segmentation du réseau. Adopter une approche proactive et globale de la cybersécurité permet de renforcer les défenses et d’atténuer les risques liés à des attaques de plus en plus sophistiquées.


À LIRE AUSSI :

Dans l'actualité