Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

WannaCry Ransomware, l’analyse de Radware

mai 2017 par Radware ERT

On Friday, May 12, 2017, a global ransomware campaign began targeting computers around the world with a ransomware variant called WannaCrypt malware (alternatively known as WCry, WannaCry or WanaCrypt0r), hitting dozens of organizations across the globe.

Comment opèreWannaCry ?

Cette attaque s’est propagée en tirant parti des vulnérabilités récemment décrites dans le protocole SMB de partage de fichiers réseau de Microsoft. CVE-2017-0144 - MS17-010i, une mise à jour de sécurité Microsoft publiée le 14 mars 2017, a réglé ces problèmes et corrigé ces vulnérabilités d’exécution de code à distance. La campagne de ransomware actuelle cible les ordinateurs qui n’ont pas été mis à jour.

Le coût de remédiation (la rançon) est de 300 $ par machine infectée à payer à Bitcoin. Trois jours après l’infection, la rancon augmente à 600 $. Lorsque l’horloge expire après sept jours, la victime perd la possibilité de payer la rançon et de décrypter ses fichiers. Les fichiers sur les ordinateurs infectés sont cryptés à l’aide d’un AES-128 personnalisé en mode CBC. Actuellement, il n’y a pas de rapports confirmés sur les victimes qui reçoivent une clé de décryptage après avoir effectué un paiement. Normalement, les campagnes de ransomware ont personnalisé des portefeuilles Bitcoin pour aider à identifier qui a payé la rançon. Dans le cas de WannaCrypt, on croit que le seul moyen d’identifier l’auteur que vous avez fait un paiement est d’envoyer votre identifiant de transaction dans leur section.

Comment se prémunir de WannaCry :
• Installer les mises à jour de sécurité Microsoft MS-17-010 :
o CVE-2017-0143
o CVE-2017-0144
o CVE-2017-0145
o CVE-2017-0146
o CVE-2017-0147
o CVE-2017-0148
• Segmenter les réseaux / vlans avec IPS entre eux qui peuvent générer des signatures en temps réel.
• Assurez-vous de mettre à jour vos machines
• Les communications externes directes SMB et Terminal Services devraient être interdites ou bien configurées et surveillées.
• Envisagez de bloquer le port 445 pour la communication externe.
• Désactiver les communications Tor vers et depuis votre organisation.
• Envisager des solutions de protection / sandboxing de jour zéro.
• Installation des mises à jour de sécurité Microsoft MS-17-010

Les utilisateurs doivent immédiatement patcher leurs ordinateurs avec la mise à jour de sécurité MS-17-010 de Microsoft qui inclut le correctif pour cette vulnérabilité. Cette vulnérabilité est si sévère que Microsoft a même poussé une mise à jour pour Windows XP pour la première fois depuis 2014. Les utilisateurs qui ne peuvent pas effectuer la mise à jour doivent désactiver SMBv1 de permettre des connexions directes. Ouvrez les fonctionnalités de Windows et décochez le support de partage de fichiers SMB 1.0 / CIFS.

A quelle suite peut-on s’attendre ?

L’extorsion n’est pas nouvelle pour l’humanité, et l’espace cybernétique est fertile pour cette activité. La fréquence des attaques de rançon a doublé l’année d’une année sur l’autre. En 2016 elle est devenue la principale motivation des cyberattaques, en particulier en Europe. En 2016, 49% des organisations ont signalé avoir souffert soit d’une infection par ransomware, soit d’une menace DDoS pour rançon.

Il est très probable que, à mesure que le malware se répand, les pirates pourront le personnaliser et d’autres permutations apparaîtront, comme le Botnet Mirai dont le code source est devenu public à l’automne 2016.

Les différentes itération de WannaCry sur Virus Total (déja quatre) :
Https ://www.virustotal.com/fr/file/cd7542f2d7f2285ab524a57bc04ae1ad9306a15b9efbf56ea7b002d99d4b974f/analysis/


Voir les articles précédents

    

Voir les articles suivants