« De WannaCry à WannaSaveU » grâce à la visibilité de Adaptive Defense

0

Le ransomware « WannaCrypt » est déjà l’attaque ransomware le plus puissante de l’historie. Voilà pourquoi il a fait beaucoup parler de lui ces derniers jours : plus de 250 000 victimes dans 179 pays, des milliers de dollars récoltés… Cette ransomware de très grande envergure a touché le service public de santé britannique (NHS) ou encore es entreprises aussi renommées que Renault, un opérateur de téléphonie en Espagne, le ministère de l’intérieur russe, des banques, des universités, des distributeurs d’argent ou un aéroport.

Quel est sont origine ?

L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Cependant, beaucoup d’entreprises n’aient pas installé le correctif. La mise à jour de Microsoft a permis de stopper la progression de « Wannacry ».

En raison de cette attaque sans précédent, Microsoft a publié – même s’il n’entretient plus son système sur XP et Windows Server 2003 – de nouveaux correctifs pour résoudre cette faille de sécurité.

Quel est la différence entre WannaCrypt et d’autres ransomwares ?

La différence entre WannaCrypt et d’autres ransomwares repose sur l’usage d’outils de piratage que la NSA aurait laissé fuiter. Ces outils permettent à l’infection de se répandre de manière autonome à travers le réseau, d’où la vitesse de propagation jamais atteinte avec une infection par ransomware.

Fort de son opération éclair pendant le week-end, WannaCry se décline maintenant en plusieurs variantes. En plus, d’autres imitations devraient suivre pour amplifier une diffusion déjà bien répandue.

Comment pouvez-vous vous protéger ?

Les techniques utilisées par les pirates évoluent aussi rapidement que les technologies de cybersécurité. Notre service Adaptive Defense et les recherches menées par nos laboratoires se sont préparés à ce type d’attaque. Cette solution nous permet de réagir rapidement notamment en utilisant l’intelligence contextuelle pour découvrir les motifs de comportement malveillant et générer des stratégies défensives pour contrer les menaces connues et inconnues.

Elle analyse, classifie et corrèle toutes les données relatives aux cybermenaces afin de lancer des procédures de prévention, de détection, de réponse et de résolution. La plate-forme connecte l’intelligence contextuelle à des opérations défensives pour intercepter les comportements malveillants et les fuites de données de manière que les systèmes de protection peuvent être activés avant l’exécution des menaces.

Des mesures de prévention pour diminuer les risques

Pour une protection générale contre les ransomwares, nous recommandons aux utilisateurs :

  • de garder leur système d’exploitation et leur logiciel à jour
  • d’utiliser une solution de sécurité fiable avec plusieurs couches de protection
  • de créer des sauvegardes (idéalement sur un disque dur externe déconnecté du réseau)
  • de sensibiliser leurs collaborateurs aux risques informatiques

« Dès WannaCry à WannaSaveU »

Des chercheurs de Panda Security ont préparé un rapport technique suite à l’enquête menée sur WannaCry où ils partagent tous les détails du cyberattaque et vont effectuer un webinaire « Dès WannaCry à WannaSaveU » demain (16:00-17:00) consacré à la cyberattaque WannaCry avec l’ analyse détaillée du mode d’excution du rançongiciel, des phases de l’attaque et des moyens de remédiation.

  • Anatomie des phases de l’attaque et de ses répliques.
  • Rapport technique complet sur l’attaque WannaCry et sur le vaccin GRATUIT développé par le PandaLabs pour les entreprises protegées par des solutions concurrentes et qui auraient été infectées par cette cyberattaque.
  • Les principales questions posées sur WannaCry.

About Author

Globb Security France

Leave A Reply