EternalRocks , le successeur de Wannacry

0

EternalRocks est le successeur tout désigné de Wannacry. Tout porte en effet à croire que la même communauté de cybercriminels est derrière le ver EternalRocks. EternalRocks est plus abouti, plus sombre également, mais il s’attaque à la même cible que Wannacry et utilise les mêmes exploits connus de la NSA dérobés et rendus publics par les Shadow Brokers. Et même plus puisque l’on parle de 7 outils utilisés contre 2 « seulement » pour Wannacry.

Mais cette fois, à l’heure actuelle, il n’y a pas de kill switch disponible. Il convient d’ailleurs de noter que le soi-disant nom de domaine web « kill switch » qui a mis fin à Wannacry n’était probablement pas un kill switch, mais plutôt une technique d’échappement Sandbox. La parade fonctionnait en autorisant le domaine recherché par Wannacry, ce qui indiquait donc au ransomware qu’il fonctionnait dans un sandbox et l’incitait à se désactiver plutôt qu’à se laisser analyser. Le kill switch n’est pas présent dans EternalRocks, de sorte que l’astuce ne pas être utilisée pour le contrer.

Une fois à l’intérieur du réseau, le ver EternalRocks peut se propager très rapidement sur Internet et dans le réseau privé en utilisant le protocole de partage de fichiers SMB, et ainsi infecter très vite les systèmes non patchés. La propagation se fait automatiquement sans passer par l’étape traditionnelle du phishing qui implique que les utilisateurs doivent cliquer sur un lien frauduleux.

EternalRocks

Ce qui rend beaucoup plus préoccupante à ce stade cette attaque EternalRocks c’est que par rapport à Wannacry (qui n’a a priori par générer des gains si élevés puisque les cybercriminels n’auraient récupéré « que » 65 000 euros environ) il n’a pas encore été lié à une charge utile destructive, même s’il installe des vulnérabilités supplémentaires facilitant une future attaque. EternalRocks reste pour l’instant une menace relativement silencieuse, mais l’ampleur des dégâts qu’il pourrait générer n’a pas encore été bien identifié.

En ne s’exécutant pas immédiatement, EternalRocks parvient à échapper à des outils SIEM qui procèdent à des analyses de données de logs périodiques et non continue, ou encore à des IDS basés sur des signatures. Toutefois, les entreprises utilisant des analyses automatiques en temps-réel sur le réseau, peuvent détecter les comportements d’attaquants et ont ainsi de grandes chances de détecter EternalRocks durant son processus d’installation et pendant ses phases opérationnelles.

About Author

Christophe Jolly

Directeur France de Vectra Networks, éditeur d’une plateforme de gestion automatisée de la menace utilisant l’intelligence artificielle.

Leave A Reply