La société Ivanti spécialisée en intégration et en automatisation des tâches IT critiques fait le point le point sur l’attaque Wannacry et propose quelques conseils.
Nom du malware (et toutes les variantes signalées, dont certaines sont plus anciennes mais apparentées) :
WannaCrypt, Wana Decrypt0r 2.0, WanaDecryptor, WannaCry, WanaCrypt0r, WCrypt, WCRY
Vecteurs de propagation
Ce ransomware exploite plusieurs vecteurs d’attaque. Toutes les versions de Windows antérieures à Windows 10 sont vulnérables si elles ne possèdent pas le correctif MS17-010. Windows XP et Server 2003 sont particulièrement vulnérables puisque, jusqu’à ce vendredi, aucun correctif n’était disponible pour corriger cette vulnérabilité pour ces systèmes d’exploitation.
- Le vecteur d’attaque principal est l’e-mail. WannaCrypt utilise le piratage psychologique ou des techniques d’hameçonnage. Il compte sur le fait que les utilisateurs vont ouvrir et exécuter la charge de traitement malveillante intégrée à l’e-mail. Le malware s’installe alors et commence immédiatement à crypter les fichiers.
- Ensuite, WannaCrypt tente de se répandre sur le réseau ou via Internet, à l’aide d’un code d’exploitation de la vulnérabilité CVE-2017-0145, qui permet aux pirates distants d’exécuter un code arbitraire par le biais de paquets spécialement conçus à cet effet sur un serveur On appelle cela « Vulnérabilité Windows SMB d’exécution de code à distance ». Cette vulnérabilité existe uniquement avec le protocole SMB v1.0. Microsoft a publié un correctif en mars : Bulletin de sécurité Microsoft MS17-010. Pour en savoir plus sur cette mise à jour, reportez-vous à l’article de la base de connaissances Microsoft numéro 4013389.
- Toutes les versions de Windows sont concernées, de WindowsXP à Server Par défaut, SMBv1 est activé sur ces systèmes. Windows 10 n’est pas concerné. Le 13 mai, Microsoft a publié un correctif de sécurité d’urgence pour les versions de Windows non prises en charge, notamment Windows XP, Vista, Windows 8, et Server versions 2003 et 2008.
Rançon demandée
Entre 300 et 600 dollars. Le ver contient du code ‘rm’ qui supprime des fichiers. Il incorpore également un mécanisme de redémarrage qui semble réinitialiser le ver s’il plante.
Qui a été frappé ?
Initialement, l’attaque semblait limitée au Royaume-Uni et plus précisément au NHS (National Health Service, l’équivalent de notre Sécurité sociale). Toutefois, en quelques heures, le malware a été signalé dans le monde entier. Il a déjà frappé près de 200 000 entreprises dans 150 pays, notamment la Russie, l’Espagne, l’Allemagne et les États-Unis. Les victimes incluent des entreprises très connues, comme FedEx, Renault, Nissan, Deutsche Bahn et Telefonica.
Porte dérobée et autres impacts
Outre la rançon, ce ver crée une boucle dans toutes les sessions de bureau à distance (RDP) d’un système afin d’exécuter le ransomware sous le nom de l’utilisateur connecté. Il semble également installer la porte dérobée DOUBLEPULSAR, qui pourrait permettre l’exécution de code à distance à l’avenir. Et il endommage les volumes « fantômes » (Shadow), ce qui rend la récupération plus difficile. (Remarque : Cette corruption des copies de volume fantôme signifie également que les antivirus nouvelle génération ont du mal à inverser l’impact si le ver n’est pas détecté avant son exécution.)
Point de blocage :
Un chercheur en malware a trouvé par accident un « point de blocage » dans WannaCrypt. Il est lié à la détection du domaine fixe iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Si ce domaine renvoie avec succès une réponse HTTP, ce point de blocage empêche la propagation du ver. Attention, si la machine infectée ne parvient pas à accéder à ce domaine (isolement, pare-feu ou filtrage), le point de blocage du ver n’est pas activé. Il n’y a qu’une seule tentative d’accès.
Bien que ce point de blocage ait ralenti la propagation de ce ransomware et donné aux entreprises le temps de lui appliquer un correctif, une nouvelle variante va sans doute apparaître dans les jours à venir. (Rien que dans la journée de dimanche, on a identifié trois nouvelles variantes.) Personne ne doit remettre à plus tard l’application des correctifs. Ce ransomware se répand « comme la peste ».
Bulletin de sécurité : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
L’avis Phil Richards, CSO d’Ivanti
« Ce ver ressemble à une variante de WanaDecryptor, un type de ransomware relativement récent. Environ 30 % des fournisseurs d’antivirus offrent actuellement des définitions de virus capables d’identifier correctement ce ransomware et de le bloquer. Kaspersky et BitDefender le gèrent correctement tous les deux. Pour le moment, il n’existe aucun code public de décryptage (craquage). Ce malware modifie des fichiers dans les répertoires /Windows et /windows/system32, et répertorie les autres utilisateurs du réseau pour les infecter. Ces deux actions nécessitent des privilèges d’administration. «
Méthodes d’élimination de ce ransomware spécifique :
- Ce ransomware attaque par hameçonnage ou autre piratage psychologique via un e-mail. Formez votre personnel à ne jamais cliquer sur un e-mail inconnu ou malveillant.
- Mettez immédiatement à jour vos correctifs Microsoft, en particulier MS17-010, qui ralentit la prolifération de ce ransomware.
- Exécutez un antivirus efficace sur tous vos postes client. Si vos définitions de virus sont vieilles de plus d’une semaine, votre antivirus ne reconnaîtra pas ce ransomware.
- Limitez les privilèges Administrateur et autorisez uniquement l’exécution des logiciels sur liste blanche. Ce malware n’aurait pas fait autant de victimes s’il n’avait pas eu accès aux privilèges Admin, et il n’aurait pas pu s’exécuter du tout s’il y avait eu une liste blanche de logiciels.
Mises à jour des produits Ivanti : Le contenu de correctif Ivanti était déjà disponible pour les systèmes d’exploitation pris en charge par Microsoft. Nous l’avons maintenant mis à jour pour détecter MS17-010 de manière universelle dans tous les systèmes d’exploitation, même anciens (y compris Windows XP et Server 2003) pour tous les produits de gestion des correctifs Ivanti et leurs variantes, notamment les applications de correctifs LANDESK, Heat et Shavlik/OEM.
Recommandations d’Ivanti pour se protéger de ce ransomware et des autres :
Attention aux hameçonnages : N’ouvrez jamais les e-mails provenant d’un expéditeur qui ne figure pas parmi vos contacts de confiance, et ne cliquez jamais sur les liens dans les e-mails ou les documents sans en vérifier la source.
La formation des utilisateurs est primordiale : Il est toujours très utile de former et de prévenir les utilisateurs finaux, mais il est important de comprendre que les « méchants » sont des professionnels. Ils utilisent un grand nombre d’outils professionnels de marketing et de piratage psychologique pour mieux tromper les utilisateurs, et les amener à ouvrir des e-mails et pièces jointes frauduleux. Si votre personnel est victime d’hameçonnage, trouvez les personnes concernées et imposez-leur une formation supplémentaire. C’est le processus logique.
Sauvegarde régulière des données utilisateur : Créez régulièrement des copies de toutes les données utilisateur pour éviter les pertes de données en cas d’attaque par ransomware. Vérifiez que les sauvegardes ne restent pas en permanence connectées au système et au réseau qu’elles protègent.
Activation du pare-feu Windows : Limitez la propagation des ransomwares sur le réseau d’entreprise en configurant des pare-feu. Blocage de l’accès aux ports SMB : à appliquer sur tout le réseau et/ou sur Internet. Ce protocole s’applique aux ports TCP numéros 137, 139 et 445, et aux ports UDP 137 et 138.
Blocage des anciens protocoles, comme SMBv1 : Cliquez sur le lien pour lire l’article traitant de la façon d’activer et de désactiver SMBv1, SMBv2 et SMBv3 sous Windows et Windows Server. (Remarque : Windows XP ne prenait en charge que SMBv1).
Audit et tenue à jour des logiciels installés : Les malwares exploitent souvent une faille d’un ancien logiciel. Tenez à jour tous vos logiciels installés, non seulement sur les postes client mais également dans le centre de données. Les produits Ivanti de gestion des correctifs détectent les vulnérabilités dans de nombreuses applications tierces, en plus du système d’exploitation.