En ce mercredi 28 Juin, les réseaux informatiques de nombreuses entreprises dans le monde ont été infectés par une vague d'un ransomware qui a été identifié dans la presse sous les noms de PetrWrap, NoPetya, GoldenEye.
L'Ukraine, la Russie, le Danemark, le Royaume-Uni, la Norvège, les Pays-Bas ont été notamment touchés par ce ransomware.
Selon les premières analyses, 60% des machines infectées se trouvent en Ukraine et 30% en Russie.
En France, des entreprises de tailles significatives telles que le géant français du bâtiment Saint-Gobain ou le groupe de la grande distribution française Auchan en sont victimes. Dans le monde l'américain Merck (Pharmaceutique), le russe Rosneft (pétrochimie), le britannique WPP (publicitaire) ont été touchés.
Nous communiquions hier en début d'après-midi sur le fait qu'aucun élément ne nous permettait d'affirmer avec certitude que le vecteur de propagation était l'email.
En comparaison à WannaCry, cette vague que nous appellerons "Petya" a été plus rapide, mais plus ciblée que la vague WannaCry du mois dernier.
D'après de premiers retours internationaux, la première machine infectée en Ukraine l'aurait été au travers d'une mise à jour infectée du logiciel de l'éditeur ukrainien "MeDoc".
Microsoft suite à une investigation en interne a confirmé ce matin cette hypothèse : "Microsoft now has evidence that a few active infections of the ransomware initially started from the legitimate MEDoc updater process."
Une fois que la première machine sur le réseau de l'entreprise est infectée, Petya utilise trois vecteurs de propagation.
En parallèle de cette vague Petya, un volume cumulé d'environ 1 221 790 emails a été détecté par notre filtre.
Trois vagues distinctes ont été détectées, une première contenant le ransomware Jaff (fichier docm dans une pièce jointe) puis deux vagues contenant le trojan bancaire Trickbot (fichier zip contenant une facture) et les ransomware Cerber et Hancitor.
Il ne faut donc pas confondre la vague d'attaque Petya et les différentes vagues Jaff et Trickbot toujours présentes.
Il est encore tôt pour avoir une analyse fine du fonctionnement PetrWrap.
Quelques préconisations sont cependant à prendre en compte: