Cyber attaque

A l'échelle mondiale et avec des modes opératoires de mieux en mieux rôdés, les cyber attaques de ces dernières semaines nous obligent à accroître notre vigilance.Quelques explications et conseils pour protéger au mieux les données de votre entreprise.

Que faut-il retenir des récentes cyber-attaques ?

Les 12 et 13 mai dernier, en 48 heures, ce sont plus de 150 pays et 200 000 utilisateurs qui ont été infectés par le ransomware WannaCry.

Renault, FedEX, le système bancaire russe, des universités et des hôpitaux à travers le monde : il s'agit là de la plus grande cyberattaque de l'histoire. En quelques heures seulement, un grand nombre d'entreprises ont été victimes du rançongiciel WannaCry, un logiciel malveillant qui, une fois exécuté sur votre ordinateur (par le biais d'une pièce jointe téléchargée depuis un email) crypte toutes vos données et vous délivre peut-être la clé de déchiffrement contre le paiement d'une rançon.

La première vague de ce ransomware a été arrêtée par le chercheur @MalwareTechBlog mais des nouvelles variantes devraient apparaître sous peu et il est primordial d'appliquer immédiatement le patch fourni par Microsoft sur l'ensemble de votre parc Windows.

De nouvelles variantes sont actuellement en train d’apparaître ; et pas forcément réalisées par le même groupe de hackeurs. Personne n’est capable de prédire si ces attaques vont s’accélérer ou s’essouffler.

Le plus important de tout cela : c’est un test grandeur nature d’une nouvelle forme de malwares qui se diffuse à une vitesse foudroyante = les RansomWorms (vers). Pour plus d'informations, ci-après un lien vers un article détaillant les risques : https://www.globalsecuritymag.fr/Les-predictions-de-securite-2017,20170119,68416.html

Les groupes de pirates vont apprendre de cette expérience et améliorer les futures attaques en préparation.

Le comportement du ransomware est le suivant : en plus de chiffrer les données de la machine, ce ransomware se comporte comme un ver en se diffusant sur le réseau local et sur internet. Pour ce faire, il utilise une faille dans le protocole CIFS utilisé pour le partage de fichiers Windows. Cette faille a été fermée par Microsoft dans le bulletin MS17-010 pour les OS encore supportés. Microsoft propose même des patchs pour ses anciens OS (XP, 2003, Vista, 2008, 8). - mssecsvc.exe : le binaire initial est téléchargé et il exécute immédiatement tasksche.exe - tasksche.exe : vérifie s'il est lancé dans un environnement de test et si c'est le cas l'infection s'arrête. Sinon il crée et démarre le service mssecsvc2.0 puis se met à chiffrer les fichiers présents sur tous les volumes accessibles. Il supprime également tous les clichés VSS (versions précédentes des fichiers) ainsi que les données des sauvegardes Windows Backup. Il lance finalement @wanadecryptor@.exe. - service mssecsvc2.0 : la spécificité de cette attaque est qu'elle allie le chiffrement des données typique des rançongiciels à un fonctionnement de type ver qui lui permet d'infecter rapidement tous les postes vulnérables du réseau. Ce service exécute le binaire mssecsvc.exe qui va essayer d'exploiter une faille du protocole SMB (partage de fichiers windows). Il va scanner le réseau local et des adresses internet au hasard et s'il trouve une cible, il l'infecte et s'y exécute. - @wanadecryptor@.exe : affiche la demande de rançon et le compte à rebours. Cette première vague avait un point faible, la vérification de l'environnement dans lequel elle est lancée. Le chercheur @MalwareTechBlog a enregistré le nom de domaine utilisé pour cette vérification et immédiatement la propagation du virus s'est arrêtée. Il est fort probable qu'une deuxième version du rançongiciel soit lancée dans les jours qui viennent en exploitant la même faille. Il est donc encore une fois primordial de déployer les patchs fournis par Microsoft.

 

Même si le risque zéro n’existe pas en la matière, sachez que votre partenaire AXE Informatique déploie des solutions pour vous aider à mieux vous protéger face à ces nouvelles menaces.

 

N’hésitez pas à contacter un de nos spécialistes :

 

David Lambert : 04 75 82 06 26

d.lambert@axeinfo.fr

 

Jérémy Dalibard : 04 76 46 30 77

j.dalibard@axeinfo.fr

 

Revenir