Commentaire de Christophe Badot, Directeur Général France, Luxembourg, et Suisse romande de Varonis

L¹attaque par ransomware a franchi un nouveau palier. Les entreprises partent désormais du principe que les hackers peuvent chercher à pénétrer leur réseau. Mais dans le cas présent, si une entreprise a un serveur dont les patchs ne sont pas à jour, alors elle fait le jeu des attaquants. Cette attaque par exploit particulièrement agressive subvertit les postes de travail et les contrôles d’accès aux données. Bien qu¹elle chiffre les fichiers comme n¹importe quelle campagne de ransomware, la différence ici est que les cybercriminels tirent profit des outils de piratage issus de la fuite de données de la NSA afin de répandre l’infection latéralement sur tous les appareils connectés au réseau. Une fois ce ransomware sur un serveur partagé, toutes les données sont susceptibles d¹être corrompues. Le principal risque de ce ransomware est que, une fois entré, il se répandra très largement, très rapidement et sera en mesure de corrompre l¹ensemble du système d¹information.

Pûre coïncidence : Trump signait au moment même où ce malware se répandait, une ordonnance désignant les « vulnérabilités connues mais encore incontrôlées » comme la plus grande menace de cybersécurité pesant sur les ministères et organismes gouvernementaux. Toutefois, la taille et la portée de cette infection montrent que la gestion des correctifs est également un problème d¹envergure mondiale pour les entreprises.

Sans surveillance de l¹activité des fichiers, les entreprises prennent des risques. Et cette cécité permet à l’attaque de se poursuivre plus longtemps et de se répandre plus rapidement. Les données ont besoin de micro-périmètres combinés à une surveillance active et une analyse comportementale afin de repérer immédiatement ces attaques de type « zero day ».

Commentaire de Lionel Goussard, Directeur Régional France, Suisse et Benelux de SentinelOne

Le ransomware WanaCrypt0r a frappé avec une grande violence vendredi, en débutant par l¹Europe avant de se répandre rapidement dans le monde entier. À partir de 13h, heure du Pacifique, on estimait que plus de 57 000 systèmes dans plus de 74 pays avaient déjà été touchés. Le directeur d’Europole évoquait ce dimanche un chiffre de 200 000 victimes dans au moins 150 pays. Beaucoup d’entreprises ne travaillant pas le weekend, on peut s’attendre à un nouveau pic de victime en début de semaine.

Des rapports supplémentaires indiquent que cette souche de ransomware a été diffusée à l’aide de l’exploit EternalBlue dérobé à la NSA et rendu public par ShadowBrokers en avril. Cette vulnérabilité a été corrigée par Microsoft (MS17-010) avant que ShadowBrokers ne divulgue cet exploit. Cela montre que si l¹installation des patchs et des mises à jour critiques peut se révéler compliquée, elle n¹en reste pas moins une étape indispensable pour toutes les organisations.

Les chercheurs de SentinelOne ont confirmé que la plate-forme de protection des terminaux de l¹éditeur détecte et bloque cette variante de ransomware. Les clients ont été invités à s’assurer qu’ils exécutent bien la dernière version.

Commentaire de Laurent Pétroque, expert fraude en ligne chez F5 Networks.

Il y a plus d’une douzaine d’années, le chercheur pionnier des programmes malveillants, le Dr Peter Tippett, a inventé l’expression « virus disaster » (catastrophe virale), pour décrire le moment où plus de 25 machines connectées à un seul réseau se retrouvent infectées comme « point de basculement » nécessitant l’arrêt complet d’un réseau. Le nouveau Ransomware WannaCry, qui verrouille tous les fichiers sur un ordinateur infecté jusqu’à ce que l’utilisateur paie une rançon, semble avoir plongé des sections entières d’infrastructures critiques en situation de catastrophe virale. Les différents hôpitaux touchés au Royaume-Uni ont été parmi les premières organisations infectées avant que les dommages ne se répandent plus largement un peu partout dans le Monde. Cette attaque sera certainement un point clé dans l¹évolution de la sécurité et de la conformité.

Le logiciel malveillant utilise MS17-010 aussi connu sous le nom "EternalBlue" (un exploit de la NSA rendu public par Shadow Brokers) pour frapper toute personne à travers le réseau qui n’avait pas mis à jour et corrigé cette vulnérabilité. Celle-ci touche le protocole SMB (Server Message Block) de partage de fichiers, qui est généralement grand ouvert au sein des réseaux organisationnels et facilite malheureusement la diffusion rapide de cette attaque.

Tout comme nous l’avons vu avec les ransomwares Cerberus et Apache Struts, les hackers ne perdent jamais de temps avant d¹améliorer les ogives de leurs logiciels malveillants avec les derniers exploits dévoilés. Lorsque de nouvelles failles sont révélées, les entreprises doivent s¹attendre à ce que les attaques précédentes soient reconditionnées pour profiter d¹une nouvelle façon d’entrer.

L’objectif évident est de mettre à jour et de patcher rapidement, la plupart des entreprises s¹attelant probablement à la tâche en urgence. C’est là que les couches secondaires de défense peuvent faire gagner du temps en permettant de verrouiller le trafic Internet entrant et le trafic latéral, au travers des réseaux. L¹entreprise peut ainsi bloquer ou restreindre les ports TCP 22, 23, 3389, 139 et 145 ainsi que UDP 137 et 138. Elles peuvent également en profiter pour vérifier que les sauvegardes sont bien paramétrées et complètes.

Cette attaque se poursuit rapidement et nous apprendrons probablement des choses intéressantes au cours des prochains jours. Espérons que toutes les organisations qui seront touchées par cette situation seront en mesure de faire face à la tempête et d¹en sortir plus forte après.