Vous avez certainement pu le voir dans les médias ce week-end, une attaque de très large ampleur s’est produite à partir de vendredi midi dernier : Renault ferme des sites industriels, FedEx coupe ses serveurs, le National Health Service des UK fait la une de la BBC, Téléfonica est down… bref, près de 100 pays en sont victimes !
Le CERT-W est sur le pont depuis les premières heures de l’attaque et plusieurs de nos analystes sont intervenus ce week-end.
Cette attaque vise à la distribution du ransomware « Wannacry » (a.k.a wcry, wannacrypt, etc. [1]).
Pourquoi tant de bruit autour d’un ransomware ?
Ce n’est pas tant le ransomware qui est intéressant d’étudier dans cette affaire : il s’agit ni plus ni moins d’un ransomware classique.En revanche, c’est sa méthode de diffusion et de propagation qui est intéressante : elle s’appuie sur ETERNALBLUE, l’exploit de MS17-010 développé par la NSA et rendu publique par The Shadow Brokers il y a quelques mois déjà (le patch est disponible depuis 2 mois).
Comment se prémunir ?
Les pratiques suivantes permettent de bloquer la propagation :- Mettre à jour les systèmes Windows (comme dit précédemment, le patch pour MS17-010 est disponible depuis plusieurs semaines).
- Mettre à jour les signatures anti-virales (tous les éditeurs d’antivirus ont à date réagi et publié une signature pour détecter Wannacry).
- Interdire les flux SMB entrants sur le SI (ou pouvant se propager au travers des différents VPN --> nous avons pu voir le cas chez certaines victimes).
- S’assurer que les URL de diffusion du malware [2] NE SONT PAS bloquées : en effet, des chercheurs en sécurité ont pu rapidement déployer des sinkholes sur ces URL et notamment embarquer un killswitch empêchant l’infection des postes si et seulement si ces URL sont joignables.
- Ajouter une entrée DNS et la faire pointer vers l'IP d'une application interne (le portail interne par exemple) car le malware ne passe pas par les proxies…
- Si le réseau est segmenté, utiliser les points de coupure pour éviter une propagation généralisée (via les IPS en particulier). Même si à ce jour le malware n’est capable de se propager que dans la zone réseau dans laquelle il est connecté, cela reste une couche protection supplémentaire. Plusieurs victimes n’ont eu que leurs postes de travail impactés grâce à leur simple segmentation du réseau.
- Enfin, préparer les sauvegardes !
Si vous découvrez des fichiers dont l’extension est en « .wncry », votre poste est alors infecté et le ransomware est déjà en cours d’exécution.
Prévenez votre équipe sécurité et n’hésitez pas à contacter le CERT-W (cert@wavestone.com) pour vous aider.
En cas d’infection, suivez les bonnes pratiques de réaction présentées ici : http://www.securityinsider-solucom.fr/2015/04/cert-solucom-retour-sur-lactualite-de_1.html
[1] Lors des premiers instants de l’attaque, plusieurs communications se sont confondues avec Jaff, un autre ransomware « simple » et également en cours de distribution par différents Exploit Kits (Necurs notamment).
[2] Ne pas bloquer : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com et ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com