Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

WannaCrypt pourrait être suivi d’autres vagues d’attaques

mai 2017 par Marc Jacob

Selon Loïc Guezo, CyberSecurity Strategist de Trend Micro, on est passé de peu à côté du Big One surtout par chance. Pour le moment, la première vague commence à être partiellement endiguée… Toutefois, Loïc Guezo s’attend à d’autres vagues utilisant des variantes de ce ransomware…

On est passé à côté du Big One par chance car dans la version il y avait un Kill Switch découvert par hasard par un jeune anglais de 22 ans qui se fait appelé @MalwareTakeBlog qui souhaite rester anonyme. Il a trouvé le nom de domaine dans le code, il a vérifié qu’il était libre et donc l’a acheté et à partir de ce moment-là les machines infectées réagissaient différemment et le malware a arrêté de se propager. De ce fait on a eu un temps de répit ce qui va permettre aux entreprises avant la prochaine vague qui ne saurait tarder. La seconde vague devrait être modifiée pour ne pas subir ce type d’arrêt de nuire. Il faut absolument que les entreprises fassent du virtual patching ainsi les solutions de Trend propose une solution. Pour les très vieux systèmes de type XP, Microsoft a édité un patch mais en attendant nous avons une solution qui s’appelle SafeLock qui permet de protéger les systèmes obsolètes hors du support de Microsoft.

On voit que des endroits dans le monde qui ont été particulièrement visé comme les panneaux d’affichage dans les transports allemands, les DAB bloqués et des usines comme les 5 usines de Renault… Pour cette dernière entreprise, 5.400 personnes sur le site de Douai, sans compter Sandouville, les sites de Slovénie, de Roumanie, au Royaume-Uni… sont touchés.

Aujourd’hui, selon l’indicateur de la blockchain des Bitcoins, 40.000€ auraient été payés par 150 entreprises. Ceci est très faible par rapport aux nombres d’entreprises touchées.

Nos conseils sont :
De maintenir à jour les systèmes informatiques. Faire donc du Patch Management.
Pour les systèmes les plus anciens il faut faire du Virtual Patchs Management ou du SafeLock pour les machines
Il faut mettre du sandboxing et du « machine learning » pour compléter le dispositif traditionnel ;
Il faut continuer à exiger le respect de bonnes pratiques comme ne pas exposer le port 445 ;
Cette attaque remet en avant le groupe Shadowbrocker qui avait piraté la NSA et récupéré des vulnérabilités 0 Days de la NSA qui aujourd’hui comme la MS17-010 qui est exploité par ce Ransomware.

Aujourd’hui, toutes les polices du monde sont sur le pont et pourraient obtenir des résultats. Par contre pour les autres vagues il va y avoir une prolifération que l’on va avoir du mal à juguler.




Voir les articles précédents

    

Voir les articles suivants