12 Mai 2017 : Cyberattaque mondiale par le ransomware Wannacry
La cyberattaque mondiale opérée vendredi 12 mai par le ranswomware « WannaCry », montre une fois de plus que les entreprises sont très exposées aux risques.
Provenant d’une vulnérabilité déja connue, ceux qui n’avaient pas appliqué les correctifs ont été durement touchés. Petit résumé de ce que l’on sait aujourd’hui et quelques recommandations.
ETAT DES LIEUX
L’attaque de type ransomware aurait touché près de 150 pays. Le logiciel malveillant (malware) responsable de l’attaque est une variante d’un ransomware appelée « WannaCry ».
Ce malware exploite une vulnérabilité connue du protocole SMB (Server Message Block) de Microsoft qui permet l’installation de WannaCry, et non un e-mail de phishing ou une publicité malveillante. SMB (Server Message Block) est un protocole réseau utilisé pour partager des fichiers entre ordinateurs. L’efficacité de WannaCry tient à sa capacité à se propager latéralement sur le même réseau et à s’installer automatiquement sur d’autres systèmes du réseau, sans aucune intervention de la part des utilisateurs. Le malware est particulièrement redoutable dans les environnements hébergeant des machines sous Windows XP car il peut lancer des analyses via le port TCP 445 (SMB) et compromettre des hôtes, chiffrer les fichiers stockés sur ces derniers, puis demander le paiement d’une rançon en bitcoins.
Le 14 mars dernier, Microsoft a publié une mise à jour de sécurité pour corriger cette vulnérabilité. Si ce correctif protège les ordinateurs Windows plus récents sur lesquels la fonction Windows Update est activée, il n’a en revanche pas été appliqué à de nombreux ordinateurs à travers le monde. C’est notamment le cas des ordinateurs Windows XP, dont Microsoft a arrêté le support, et des millions d’ordinateurs exécutant des logiciels piratés qui, fatalement, ne sont pas mis automatiquement à niveau.
Une fois le cryptage terminé, le malware affiche la note suivante. Un aspect intéressant de cette variante est que l’écran de rançon est effectivement un fichier exécutable et non une image, un fichier HTA ou un fichier texte.
PREMIÈRES RECOMMANDATIONS
1. Vérifiez que tous les correctifs distribués par Microsoft ont été appliqués aux terminaux Windows. Veillez en particulier à appliquer le correctif suivant : Bulletin de sécurité Microsoft MS17-010.
2. Envisagez le blocage d’anciens protocoles tels que SMBv1 au sein du réseau. Pensez également à bloquer toutes les connexions SMB (ports TCP 139 et 445) depuis des hôtes accessibles de l’extérieur.
Il est évident que si les vulnérabilités ne sont pas corrigées, une entreprise restera exposée au risque d’infection par ce ransomware.
Il y a fort à parier que des variantes de WannaCry feront leur apparition dans les jours et semaines à venir. Si la variante actuelle va être ajoutée aux signatures antivirus, les nouvelles variantes pourront très probablement être détectées par les techniques d’analyse comportementale modernes de la solution Cisco AMP.
POUR PLUS D’INFORMATIONS
- Un rapport détaillé sur les origines et les modes de propagation du malware a été publié par Talos dès le vendredi 12 mai.
Talos, l’équipe de cyber-chercheurs Cisco , a recensé des échantillons de WannaCry utilisant DOUBLEPULSAR, une porte dérobée (backdoor) persistante qui sert généralement à accéder et à exécuter du code sur des systèmes préalablement compromis. Cela permet d’installer et d’activer des logiciels supplémentaires, par exemple un malware. Ce backdoor est généralement installé grâce à l’exploitation des vulnérabilités SMB corrigées dans le bulletin de sécurité Microsoft MS17-010. Il est associé à une infrastructure d’exploitation offensive distribuée dans le cadre du cache du groupe Shadow Brokers récemment rendu public. Depuis sa publication, il a été analysé et étudié par de nombreux acteurs du secteur de la sécurité ainsi que sur plusieurs forums de piratage clandestins.
Il semble que WannaCry utilise principalement les modules ETERNALBLUE et le backdoor DOUBLEPULSAR. Il a recours à ETERNAL BLUE pour l’exploitation initiale de la vulnérabilité SMB. S’il réussit, il implante ensuite le backdoor DOUBLEPULSAR et l’utilise pour installer le malware. Si l’exploit échoue mais que le backdoor DOUBLEPULSAR est déjà installé, le malware peut toujours se servir de ce dernier pour installer la charge active du ransomware. C’est la raison des activités caractéristiques d’un ver informatique que l’on a pu observer à grande échelle sur Internet.
Les entreprises doivent s’assurer que tous les correctifs distribués par Microsoft ont été appliqués aux terminaux Windows et que ces derniers ont été déployés conformément aux meilleures pratiques. En outre, elles doivent également bloquer tous les ports SMB (139 et 445) des hôtes accessibles de l’extérieur.
Notez que cette menace fait toujours l’objet d’une enquête et que la situation peut évoluer à mesure que de nouvelles informations seront disponibles ou que les auteurs de l’attaque réagiront aux mesures prises pour la neutraliser. Talos continuera de suivre de près l’évolution de la situation et y répondra en conséquence. Dès lors, il se peut que de nouvelles mesures de protection soient développées ou que les mesures actuelles soient adaptées et/ou modifiées à une date ultérieure. Pour obtenir des informations à jour, référez-vous au FirePOWER Management Center ou consultez le site Snort.org.
Tags:
