L’attaque du ransomware Petya prouve que WannaCry n’était que le début
Ce mardi, plusieurs centaines d’entreprises et d’organisations aux quatre coins du globe ont été touchées par un ransomware de la famille Petya. Parmi les victimes, la compagnie d’électricité ukrainienne, l’une des plus grandes entreprises mondiales du secteur alimentaire et même les systèmes de surveillance des radiations de Tchernobyl.
Même si le vecteur d’attaque initial n’a pas encore été identifié, les analyses F-Secure ont d’ores-et-déjà pu conclure que cette variante de Petya utilise l’exploit EternalBlue, patché pour la première fois par Microsoft en mars de cette année. Cet exploit a notamment gagné en « popularité » en mai dernier suite à l’attaque WannaCry, l’une des plus importantes attaques ransomware de tous les temps. Cet exploit, identifié par la NSA, avait été rendu public en début d’année, avec les révélations du groupe de hackers Shadowbrokers :
Petya encrypts the following file types, demands a $300 ransom in Bitcoin. pic.twitter.com/9a3S2fwDtR
— @mikko (@mikko) June 27, 2017
Le Laboratoire F-Secure a déjà mis en garde contre les dangers inhérents à la fuite d’outils de surveillance gouvernementaux, utilisés ensuite par les criminels quelques années plus tard. Ces mises en garde constituent aujourd’hui une réalité, et les entreprises doivent se préparer payer les conséquences de ces pratiques dans les années qui viennent.
WannaCry a prouvé que son business model était viable pour les pirates. Les ransomware qui se répandent comme des vers à travers le réseau peuvent prendre en otage une quantité colossale de données, et exiger de l’argent sous forme de Bitcoins pour restituer ces fichiers. Les dommages de WannaCry ont pu être minimisés grâce à un défaut de codage : un expert en sécurité, pourtant en vacances à cette période, avait pu porter un coup d’arrêt au malware.
Petya emploie les mêmes méthodes, mais l’approche semble nettement plus perfectionnée, plus professionnelle.
« C’est l’équivalent de WannaCry, version haute-compétition », explique Sean Sullivan, Security Advisor chez F-Secure. « La dernière fois, des amateurs ont pu infecter de nombreuses machines. Cette fois, ces pirates veulent réellement encaisser l’argent. »
Contrairement à d’autres ransomware, Petya mise sur une « stratégie diabolique » : ce malware chiffre des portions du disque dur qui rendent même Windows inaccessible. Bien que cette famille de ransomware existe depuis plus d’un an, aucune version n’avait jusque-là fait appel à des exploits réseau.
D’après un compte Twitter traquant les paiements, depuis mardi après-midi, plus de 6 000 $ ont déjà pu être collectés dans la valise Bitcoin vers laquelle renvoient les demandes de rançons Petya.
Bonne nouvelle : les produits F-Secure bloquent cette nouvelle variante de Petya.
Nos produits de protection des postes de travail protègent contre toutes les variantes de cette attaque. La gestion des vulnérabilités F-Secure signale les vulnérabilités exploitables au sein du système pour les corriger. Le service de gestion des incidents F-Secure détecte l’attaque et fournit une réponse immédiate.
Les produits de protection des postes de travail F-Secure protègent contre Petya sur plusieurs niveaux, permettant ainsi de stopper le ransomware à plusieurs étapes de sa progression.
- La fonctionnalité intégrée de gestion des patchs, Software Updater, empêche cette nouvelle variante de Petya d’exploiter la vulnérabilité EternalBlue en installant automatiquement les patchs de sécurité correspondants.
- La fonctionnalité Security Cloud détecte et bloque le fichier DLL utilisé par le ransomware.
- Le moteur anti-malware F-Secure détecte et bloque l’attaque grâce à plusieurs détections de signatures complémentaires.
- Les paramètres par défaut du firewall F-Secure empêche l’attaque Petya de se répandre latéralement sur le réseau et de chiffrer les fichiers.
Le gestionnaire de vulnérabilités F-Secure, F-Secure Radar, signale le patch de sécurité manquant de Microsoft et le port vulnérable 445, afin que les administrateurs informatiques puissent prendre les actions qui s’imposent, bien avant qu’une attaque se produise.
Le service de gestion des incidents F-Secure, F-Secure Rapid Detection Service, détecte dans une large proportion les techniques TTP utilisées par Petya, comme l’abus de rundll-32 et d’autres composant Microsoft. En cas d’infection, les clients peuvent ainsi agir immédiatement et prendre les mesures nécessaires.
Que faire pour se protéger ?
Les produits de protection des postes de travail F-Secure bloquent les attaques Petya lorsque les paramètres correspondent à la configuration par défaut. Toutefois, pensez à vérifier que toutes les fonctions de sécurité sont activées. Suivez également les différentes étapes permettant de neutraliser la vulnérabilité exploitée et d’empêcher l’attaque de se répandre :
- Assurez-vous que DeepGuard et la protection en temps-réel sont activés sur tous les appareils de l’entreprise.
- Assurez-vous que le réseau de protection en temps-réel F-Secure est activé.
- Assurez-vous que le programme de sécurité F-Secure utilise la toute dernière base de données disponible.
- Identifiez les appareils ne disposant pas des patchs Microsoft (4013389) grâce à Software Updater ou à d’autres outils, et patchez-les immédiatement.
- Appliquez MS17010 à Windows Vista ou ultérieur (Windows Server 2008 et ultérieur)
- Appliquez le patch de Microsoft à Windows XP ou Windows Server 2003.
- Dans le cas où vous ne seriez pas en mesure d’appliquer le patch immédiatement, nous vous recommandons de désactiver SMBv1 selon les étapes détaillées dans cet article, afin de réduire votre surface d’attaque : Microsoft Knowledge Base Article 2696547
- Assurez-vous que le firewall F-Secure est activé selon les paramètres par défaut, ou configurez votre firewall de manière à bloquer le trafic entrant et sortant du port 445, afin d’empêcher le ransomware de se répandre au sein de votre environnement informatique.
[fsecure-eloqua name=”Livre%20blanc%20%22Ransomware%20%3A%20le%20chantage%20qui%20vous%20fait%20d%C3%A9chanter%22″ url=”http://images.news.f-secure.com/Web/FSecure/%7B3433de86-f583-4770-b79e-424d977a865a%7D_170103_avis_expert_ransonware.pdf” description=”Livre%20blanc%20%22Ransomware%20%3A%20le%20chantage%20qui%20vous%20fait%20d%C3%A9chanter%22″]
Catégories