Les chercheurs de SonicWall Capture Labs enquêtent actuellement sur ce malware et cherchent à identifier si la rançon est l’objectif de ce malware ou si l’objectif véritable est différent, peut-être la destruction des données. Ce qui est certain, c’est que le malware utilise l’exploit Eternal Blue de la NSA ainsi qu’un Trojan de vol de d’identifiants pour opérer.

L’attaque s’inscrit dans une tendance qui avait été identifiée dans le rapport SonicWall Capture Threat report : les attaques de type ransomware sont passées de 3,8 millions de tentatives en 2015 à 638 millions en 2016, autrement dit elles ont été multiplié par 167. En parallèle la variété de ces logiciels malveillants a drastiquement diminué, les cyber-attaquants préférant utiliser des variantes de ransomware existants. La dernière tendance en date consiste à réaliser des “cocktails” de logiciels malveillants. Chacun des ingrédients du cocktail est connu mais leur combinaison génère des malwares aussi différents qu’efficaces. Dans le rapport 2017, Petya était identifié comme la famille de malware la plus importante en 2016.

Afin de se prémunir contre des récidives éventuelles, voici les conseils de Florian Malecki :

• Téléchargez le dernier patch Windows fourni par Microsoft, en particulier si vous possédez une vieille version du système d’exploitation Windows.
• Assurez-vous que votre pare-feu nouvelle génération ait une souscription à une passerelle de sécurité à jour pour recevoir de manière automatique une protection contre les attaques ransomware.
• Déchiffrez et scannez l’ensemble du trafic TLS/SSL chiffré pour éliminer les malware qui se dissimulent pour franchir la périphérie du réseau. Cette approche est efficace non seulement pour les variantes de malware connues que pour celles encore inconnues.
• Utilisez une sandbox réseau multi-moteur pour examiner les fichiers suspects entrant dans votre réseau, pour détecter et arrêter les dernières menaces, et se protéger contre les infractions futures. SonicWall assure une protection automatisée avec notre sandbox de réseau Capture ATP et la fonctionnalité ‘bloquer jusqu’au verdict’ qui retient automatiquement les fichiers inconnus à la passerelle, jusqu’à ce que le sanbox cloud puisse déterminer s’il est malveillant ou non.
• Assurez-vous que votre souscription à la sécurisation des emails soit active and à jour, puisque les attaques telles que celle-ci s’introduisent dans les entreprises le plus souvent par emails.
• Veillez à ce que votre solution de sauvegarde soit à jour et testez régulièrement votre outil de récupération des données.