EternalBlue à nouveau utilisé pour répandre un ransomware plus puissant que WannaCryptor
Pour se diffuser, il utilise une combinaison de l'exploit SMB EternalBlue, utilisée par WannaCryptor pour se propager dans le réseau via PsExec.
Détectée par ESET® comme Win32/Diskcoder.C Trojan., une nouvelle attaque de ransomware liée à la famille Petya cible l’Ukraine.S'il infecte le MBR, le ransomware chiffre l’intégralité du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa.
Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec. Les experts ESET espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware s’infiltre dans le réseau. Le malware peut alors obtenir des droits d'administrateur et se propager sur d'autres ordinateurs.
Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques, les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook® par le Premier ministre adjoint de l'Ukraine, Pavlo Rozenko, qui montre qu'un ordinateur est apparemment chiffré.
La Banque Nationale d'Ukraine a avertisur son site Internet les autres banques : « Le secteur financier a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs du marché financier. »
Forbes a déclaré que bien qu'il semble y avoir des similitudes avec WannaCrypt (d'autres le décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.
Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de WannaCrypt. Il proviendrait du Groupe IB :« Si vous voyez ce texte, vos fichiers ne sont plus accessibles, car ils ont été chiffrés ... Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de payer [300 bitcoins] et acheter la clé de déchiffrement. »