“FIC2018”

WannaCry, et si ce n’était que la partie immergée de l’iceberg ?

0

Depuis vendredi dernier, plus de 200.000 ordinateurs dans 150 pays ont été touchés lors de la plus grande opération de cyber-extorsion à ce jour. Renault, Vodafone, FedEx, ministère de l’Intérieur russe, la Deutsche Bahn ou encore les NHS se sont fait pirater dans cette vague de cyber-attaques sans précédent.

De quoi s’agit-il ? 

À l’heure d’aujourd’hui nous sommes confrontés à un rançongiciel très agressif ayant compromis des milliers d’organisations et également des particulières partout dans le monde.

Il faut savoir que WannaCry a été identifié d’abord comme étant un ransomware classique véhiculé via une campagne du phishing. Ce dernier infecte les postes de travail via des techniques de social engineering et verrouille ensuite l’accès aux données utilisateur. L’extension .WCRY se rajoute aux fichiers de type :

.123 ; .3dm ; .3ds ; .3g2 ; .3gp ; .602 ; .7z ;.ARC ; .PAQ ; .accdb ; .aes ; .ai ; .asc ; .asf ; .asm ; .asp ; .avi ; .backup ; .bak ; .bat ; .bmp ; .brd ; .bz2 ; .cgm ; .class ; .cmd ; .cpp ; .crt ; .cs ; .csr ; .csv ; .db ; .dbf ; .dch ; .der ; .dif ; .dip ; .djvu ; .doc ; .docb ; .docm ; .docx ; .dot ; .dotm ; .dotx ; .dwg ; .edb ; .eml ; .fla ; .flv ; .frm ; .gif ; .gpg ; .gz ; .hwp ; .ibd ; .iso ; .jar ; .java ; .jpeg ; .jpg ; .js ; .jsp ; .key ; .lay ; .lay6 ; .ldf ; .m3u ; .m4u ; .max ; .mdb ; .mdf ; .mid ; .mkv ; .mml ; .mov ; .mp3 ; .mp4 ; .mpeg ; .mpg ; .msg ; .myd ; .myi ; .nef ; .odb ; .odg ; .odp ; .ods ; .odt ; .onetoc2 ; .ost ; .otg ; .otp ; .ots ; .ott ; .p12 ; .pas ; .pdf ; .pem ; .pfx ; .php ; .pl ; .png ; .pot ; .potm ; .potx ; .ppam ; .pps ; .ppsm ; .ppsx ; .ppt ; .pptm ; .pptx ; .ps1 ; .psd ; .pst ; .rar ; .raw ; .rb ; .rtf ; .sch ; .sh ; .sldm ; .sldx ; .slk ; .sln ; .snt ; .sql ; .sqlite3 ; .sqlitedb ; .stc ; .std ; .sti ; .stw ; .suo ; .svg ; .swf ; .sxc ; .sxd ; .sxi ; .sxm ; .sxw ; .tar ; .tbk ; .tgz ; .tif ; .tiff ; .txt ; .uop ; .uot ; .vb ; .vbs ; .vcd ; .vdi ; .vmdk ; .vmx ; .vob ; .vsd ; .vsdx ; .wav ; .wb2 ; .wk1 ; .wks ; .wma ; .wmv ; .xlc ; .xlm ; .xls ; .xlsb ; .xlsm ; .xlsx ; .xlt ; .xltm ; .xltx ; .xlw ; .zip

La demande de rançon en bitcoins se lève à environ 300 dollars. Le message demandant le paiement pour obtenir la clé de déchiffrement a été traduit dans une vingtaine de langues, un premier indice qu’il s’agit d’une opération à grand échelle. Ainsi, le paiement doit intervenir dans les sept jours suivant l’infection, sinon les données seront effacées définitivement.


Ce rançongiciel a notamment décollé grâce à l’exploitation d’une vulnérabilité présente sur les systèmes Windows (MS17-010). Initialement un exploit développé par le fameux groupe Equation, la faille surnommée EternalBlue concerne l’implémentation du protocole SMB (Server Message Block). Cela explique pourquoi WannaCry a pu se propager à travers les réseaux des ordinateurs infectés sans aucune interaction de la part de l’utilisateur.

Comment ont-ils choisi leurs cibles ?

Alors que les campagnes de phishing de WannaCry ne semblent faire aucune distinction entre un grand compte et une petite moyenne entreprise, nous pouvons confirmer que le rançongiciel WannaCry n’a pas été conçu pour mener une opération ciblée.

L’ampleur de l’attaque est une surprise et une grande déception, vu que la faille était déjà connue (voir ici le Bulletin Windows dédié). En effet, cette vulnérabilité critique s’est fait connaître au mois de mais lors de la sortie des documents fuites de l’agence de sécurité américaine NSA. Le problème a été dûment corrigé quelques jours plus tard via le déploiement d’une mise à jour fourni par Windows.

Sont visées principalement les entités n’ayant pas installé le patch et les utilisateurs Windows XP, Windows 8 et Windows Server 2003 qui ne bénéficient plus d’un support automatique de la part de Microsoft.

Les grands institutions se disent régulièrement inquiets quant à l’état de sécurité de leurs systèmes d’information. Cependant, vu le grand nombre d’entre eux qui ont ignoré les mises à jour de leur système face à EternalBlue, nous pensons qu’un peu plus de sensibilisation ne leur fera pas de mal.

Comment éviter la prise en otage de ses données? 

Afin de toujours améliorer votre protection contre le ransomware, il suffit de mettre en application quelques bonnes pratiques :

1/ Réaliser régulièrement une sauvegarde de vos données sensibles.

Faire appel à des services d’hébergement Cloud si possible. Dans le cas notamment sensible d’un OIV, il vaut mieux disposer d’une version déconnectée des sauvegardes.

2/ Eviter de cliquer sur des liens suspicieux ou d’ouvrir des pièces jointes provenant des inconnus.

Méfiez-vous des documents Microsoft Office envoyés par mail et n’activez surtout pas les macros à la demande.

3/ Maintenir à jour votre OS et vos applications.

4/ Chercher si les clés de registre suivantes s’observent :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ »Microsoft Update Task Scheduler » = «  »[PATH_TO_TROJAN]\[TROJAN_EXE_NAME] » /r »
  • HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\ »wd » = « [PATH_TO_TROJAN] »

Ou bien si les fichiers suivants se sont installés sur :

  • [PATH_TO_TROJAN]\!WannaDecryptor!.exe
  • [PATH_TO_TROJAN]\c.wry
  • [PATH_TO_TROJAN]\f.wry
  • [PATH_TO_TROJAN]\m.wry
  • [PATH_TO_TROJAN]\r.wry
  • [PATH_TO_TROJAN]\t.wry
  • [PATH_TO_TROJAN]\u.wry
  • [PATH_TO_TROJAN]\TaskHost
  • [PATH_TO_TROJAN]\00000000.eky
  • [PATH_TO_TROJAN]\00000000.pky
  • [PATH_TO_TROJAN]\00000000.res
  • %Temp%\0.WCRYT
  • %Temp%\1.WCRYT
  • %Temp%\2.WCRYT
  • %Temp%\3.WCRYT
  • %Temp%\4.WCRYT
  • %Temp%\5.WCRYT
  • %Temp%\hibsys.WCRYT

5/ Toujours mettre à jour vos logiciels de sécurité.

Si vous ne disposez pas encore d’un outil de gestion de vulnérabilités, nous vous conseillons d’installer IKare, le scanner développé par ITrust. La base de connaissance d’IKare est automatiquement mise à jour afin qu’aucune vulnérabilité connue ne vous échappe.

6/ Mettre en place des règles spécifiques dans le cadre de votre SOC (Security Operations Center).

Si vous ne disposez pas de suffisamment des ressources en interne (qu’elles soient humaines ou logicielles), sachez qu’ITrust propose une offre SOC packagée capable de remonter en temps réel plus de 200 alertes. Dans le cas de WannaCry notamment, les règles suivantes sont applicables :

  • Détection d’une pièce jointe suspecte non bloquée par la solution de sécurité dédiée à la messagerie email gateway ;
  • Détection d’un lien suspect à l’intérieur d’un email qui n’a pas été bloqué par la solution de sécurité de votre messagerie email gateway ;
  • Détection d’un email infecté bloqué par la solution de sécurité de votre messagerie et suivi ;
  • Détection d’une tentative de connexion à un site web suspect bloqué par la solution de sécurité dédiée à la messagerie ;
  • Détection d’une vulnérabilité critique suivie d’une connexion bloquée par le proxy.

Pour plus de conseils, nous vous conseillons de lire notre précédent article sur « Comment éviter la prise d’otage de vos données ».

 Quels choix s’offrent a moi en cas d’infection ?

Quoi faire si votre ordinateur est déjà infecté par WannaCry ou tout autre ransomware ou malware inconnu ?

Vous pensez avoir tout perdu dès avoir reçu la demande de rançon ? Les experts d’ITrust vous apportent une bonne nouvelle, il vous reste encore du temps ! En effet, il y a une fenêtre d’opportunité dont vous pouvez profiter et arrêter la prise d’otage de vos données avant même qu’elle ait commencé.

Parmi nos clients, aucune infection réussie n’est à déplorer. Les algorithmes de machine learning de Reveelium permettent de détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants.

@malwaretechblog, l’homme providentiel de 22 ans qui a peut-être stoppé l’attaque mondiale à lui tout seul, a en fait remarqué qu’un nom de domaine de type DGA était régulièrement requêté par le maliciel. Il s’agit d’un cas classique de communication entre un maliciel et un C&C. Reveelium reconnait automatiquement ces types de noms de domaine et lève une alerte de sorte que le ransomware peut être stoppé lorsqu’il est encore en phase d’initialisation.

_____________________________________________________________________

En réaction à l’attaque WannaCry un collectif spontané regroupant les référants du numérique a lancé le manifeste « RESISTANCE CYBER »

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply