Petwrap, nous n’aurions jamais dû en entendre parler

0
La cyberattaque WannaCry de mai dernier aurait dû éveiller les consciences. Les conséquences ont été si visibles qu’il était impossible d’imaginer une cyberattaque de cette ampleur si peu de temps après. Normalement, toutes les entreprises auraient dû prendre les dispositions nécessaires pour renforcer leur exposition face à ce type d’attaque, désormais bien connue. D’autant que Petwrap exploite, entre autre, la même vulnérabilité que WannaCry pour se propager sur les réseaux internes.
Comment se fait-il que celle-ci n’ait pas été identifiée et corrigée sur les systèmes internes vulnérables après WannaCry ? Ces entreprises n’ont-elles fait que bloquer sur leur périmètre extérieur le protocole utilisé par cette vulnérabilité au moment de WannaCry, sans corriger pour autant les machines elles-mêmes ? Si c’est le cas, ça ne peut être qu’une mesure d’urgence qui aurait dû être suivie d’une correction des systèmes concernés. On peut imaginer que, pour une partie des victimes actuelles, nous sommes dans les effets pervers du “provisoire qui dure”.
Cependant ce malware semble aussi utiliser un second vecteur de propagation différent de WannaCry. Il exploite notamment WMIC (Windows Management Instrumentation Commandline) en récupérant des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à l’outil de gestion à distance PsExec. Cela pourrait expliquer une grande partie des nouvelles infections, mais pose alors de nouvelles questions : comment un code malveillant peut-il obtenir aussi facilement les droits nécessaires à ce type d’action hautement sensible, sur un poste de travail censé être contrôlé ?
En définitive ce qu’il faut retenir c’est que même si WannaCry aurait dû être un cas d’école pour les entreprises et les inciter à renforcer leurs protections à la fois techniques et comportementales, cela ne semble pas avoir été le cas partout. Les hackers, en revanche, apprennent constamment de leurs succès comme de leurs échecs, et travaillent sans cesse à améliorer leurs outils, en s’inspirant du travail d’autres membres de leur communauté, afin de mener des attaques toujours plus rentables.
Share.

About Author

Jérôme Saiz est consultant en protection des entreprises et fondateur de la société OPFOR Intelligence. Il est auditeur INHESJ, titulaire du titre RNCP-1 d'expert en protection des entreprises, et certifié CT CERIC en sûreté / lutte contre la malveillance (CNPP). Il a été auparavant expert sécurité, responsable de la communauté RSSI au sein de la société Qualys, un éditeur de solutions d’analyses de vulnérabilités, et journaliste spécialisé dans les questions de cyberdéfense. Jérôme enseigne depuis 2007 à l'école d'ingénieurs EPITA (cycle Systèmes, Réseaux & Sécurité) et intervient depuis 2016 auprès du Centre National de Prévention et de Protection, ainsi que de l'INHESJ.

Leave A Reply