Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Petwrap, nous n’aurions jamais dû en entendre parler...

juin 2017 par Jérôme Saiz, expert du Cercle des Assises de la Sécurité

Petwrap, comment passer à côté de cette nouvelle cyberattaque massive ? Elle fait les gros titres depuis hier après-midi. Ce rançongiciel a frappé beaucoup de entreprises à travers le monde, et notamment en France la SNCF, Saint Gobain, ou encore Auchan.

Après l’état de choc, l’heure est au questionnement... Petrwrap n’aurait jamais dû avoir cette ampleur... Jérôme Saiz, expert du Cercle des Assises de la Sécurité relève des points importants :

"La cyberattaque WannaCry de mai dernier aurait dû éveiller les consciences. Les conséquences ont été si visibles qu’il était impossible d’imaginer une cyberattaque de cette ampleur si peu de temps après. Normalement, toutes les entreprises auraient dû prendre les dispositions nécessaires pour renforcer leur exposition face à ce type d’attaque, désormais bien connue. D’autant que Petwrap exploite, entre autre, la même vulnérabilité que WannaCry pour se propager sur les réseaux internes.

Comment se fait-il que celle-ci n’ait pas été identifiée et corrigée sur les systèmes internes vulnérables après WannaCry ? Ces entreprises n’ont-elles fait que bloquer sur leur périmètre extérieur le protocole utilisé par cette vulnérabilité au moment de WannaCry, sans corriger pour autant les machines elles-mêmes ? Si c’est le cas, ça ne peut être qu’une mesure d’urgence qui aurait dû être suivie d’une correction des systèmes concernés. On peut imaginer que, pour une partie des victimes actuelles, nous sommes dans les effets pervers du "provisoire qui dure".

Cependant ce malware semble aussi utiliser un second vecteur de propagation différent de WannaCry. Il exploite notamment WMIC (Windows Management Instrumentation Commandline) en récupérant des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à l’outil de gestion à distance PsExec. Cela pourrait expliquer une grande partie des nouvelles infections, mais pose alors de nouvelles questions : comment un code malveillant peut-il obtenir aussi facilement les droits nécessaires à ce type d’action hautement sensible, sur un poste de travail censé être contrôlé ?

En définitive ce qu’il faut retenir c’est que même si WannaCry aurait dû être un cas d’école pour les entreprises et les inciter à renforcer leurs protections à la fois techniques et comportementales, cela ne semble pas avoir été le cas partout. Les hackers, en revanche, apprennent constamment de leurs succès comme de leurs échecs, et travaillent sans cesse à améliorer leurs outils, en s’inspirant du travail d’autres membres de leur communauté, afin de mener des attaques toujours plus rentables."




Voir les articles précédents

    

Voir les articles suivants