@DPO_News @cyberisques @jpbichard Ransomware: WannaCry Massive attack

Phot-JPB-DPO NEWS 

@jpbichard *

 

WannaCrypt Massive Attack Ransomware  

 

https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?smid=tw-nytimes&smtyp=cur&_r=0

 

WannaCrypt-ransomware 

 

Last update: 16 mai 10h40 

 

 

Le 12 mai,  une cyberattaque basée sur la technique "ransomware" s'est produite à l'échelle planétaire. Si le service public de santé britannique (NHS) ou encore le centre d'alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes plus tôt dans la journée, ce ne sont pas moins de 150 pays qui auraient été touchés par plus de 45 000 attaques, selon le spécialiste de la cybersécurité Kaspersky Lab.

 L’attaque a été baptisée WannaCrypt.

 

Microsoft vient de publier un bulletin public listant les correctifs pour Windows XP, Windows 8 et certaines plates-formes serveur qui n'ont pas reçu la mise à jour MS17-010 d'origine. L’annonce est disponible à cette adresse 

 

:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ .

 

 

Moyens utilisés:

Microsoft n'aurait pas protégé "démocratiquement" certains utilisateurs en leur faisant payer les mises à jour au lieu de les offrir. L'agence US NSA aurait laissé fuiter des outils de "hacking" sur Internet. 

 

 

Combien d'entreprises sont touchées en France ?

une différence entre la perception du risque et le risque réel ? 

  

Contrairement à ce qu'affirme le CIFREF dans son CP du 15 mai (extrait ci dessous) Lundi 15 mai à 8h00 sur Fr Inter Guillaume Poupard * directeur général de l'ANSSI - Agence Nationale de la Sécurité des Systèmes d'information a révélé que "Renault n'était pas la seule entreprise en France touchée par cette famille de ransomawre".  Rappelons que le CIGREF pour sa part, table ses statistiques sur les 143 entreprises membre de cette association. 

 

BEAZLEY-Cyberisques-News-2017

 

Cependant, les chiffres connus sur les infections de ransomwares - notamment chez les cyber-assureurs -  laissent penser a moins d'optimisme au regard de l'ensemble des entreprises, PME PMI incluses.

 

Selon une des plus récentes études connues reprises par Trend Micro -  http://www.databreachtoday.com/whitepapers/2016-ransomware-response-study-w-2983 * plus de la moitié des répondants (53 %) déclare avoir été victime d'une attaque de ransomware en 2016 et 42 % avouent ne pas avoir connaissance de la fréquence des attaques qu'ils subissent.

Néanmoins, près de 3 responsables de la sécurité informatique sur 5 (59 %) estiment que les solutions qu’ils ont mises en place pour se prémunir contre ces attaques ont une efficacité supérieure à la moyenne. Ces chiffres soulignent bien le décalage qui existe entre la perception que les entreprises ont des solutions de sécurité implémentées et le nombre d'attaques de ransomware effectives.

D'apres m'éditeur spécialisé SentinelOne « 52% des entreprises FR ont été victimes d’un ransomware en 2016. 31 % des organisations en France ont été victimes de 3 à 4 attaques par ransomware au cours des 12 derniers mois » (https://go.sentinelone.com/rs/327-MNM-087/images/SentinelOne_RW_French.pdf)

 

D'autres chiffres intéressants sont publiés par les compagnies d'assurance sur les risques "cyber". 

Une étude menée par Hiscox auprès de 3000 entreprises en Grande-Bretagne, USA et Allemagne montre que plus de la moitié des entreprises ne sont pas protégées face à une cyber-attaque. Pourtant, si les hackers sont toujours plus habiles pour déceler les faiblesses informatiques, certaines mesures peuvent être instaurées pour les éviter.

 

Hiscox France, Astrid-Marie Pirson, directrice de la souscription :

 

« Au cours des 24 derniers mois, nous avons assisté à un nombre accru d'attaques de type ransomware. Ces attaques sont généralement résolues très rapidement : si la victime dispose d'une bonne maintenance de son système informatique et d'un process de sauvegarde régulier, elle pourra récupérer ses données sans avoir à payer la rançon (et ainsi prendre le risque d'une nouvelle demande) ; sinon, ses données seront souvent irrémédiablement perdues.

 

https://www.hiscox.co.uk/cyber-readiness-report/

 

 

Dans le cas de Wannacry, le ransomware se propage via un exploit de la NSA qui avait été divulgué il y a quelques mois, qui a lui a permis de se répandre plus facilement et de s'attaquer à une faille connue du système Microsoft Windows. Ainsi, cette opération de piratage d'ampleur mondiale affecte potentiellement tout ordinateur fonctionnant sur ce système d'exploitation et qui n'aurait pas installé le patch de sécurité disponible depuis le mois de mars (bulletin MS17-010). »

 

 

 Selon une autre rapport de Kaspersky Lab, au cours du troisième triomestre de l'année, 32 091 nouvelles versions de ransomware ont été détectées contre seulement 2 900 au cours du premier trimestre. « Au total, nous avons comptabilisé 62 nouvelles familles de malwares de cette catégorie cette année », a indiqué l’entreprise de sécurité. Ce type de malwares est toujours autant apprécié des cybercriminels, car le taux de réussite est très haut. L'enquête révèle que ce sont surtourt les petites et moyennes entreprises qui ont été les plus touchées. En effet, dans les 12 derniers mois, 42 % d'entre elles ont été victimes d'une attaque par un ransomware, et si une PME sur trois a payé la rançon, une sur cinq n'a jamais récupéré ses fichiers après le paiement. « Au total, 67 % des entreprises touchées par un ransomware ont perdu une partie ou la totalité de leurs données d'entreprise et une victime sur quatre a passé plusieurs semaines à essayer de retrouver l'accès à ses fichiers », selon le rapport de l'entreprise spécialisée en sécurité Kaspersky Lab. 

Pour Kaspersky Lab, le ransomware le plus populaire cette année est indéniablement CTB-Locker, utilisé dans 25 % des attaques. Ensuite, vient Locky pour 7 % des attaques et TeslaCrypt pour 6,5 % même si cette dernière n'a été active jusqu'en mai seulement. Les cibles des acteurs des attaques par ransomware ont évoluées : les entreprises ciblées concernent des secteurs de l'industrie où le manque de disponibilité des données est très dommageable à leur activité.

  

 * publiée le 6 février 2017 « Ransomware Response Study ») et conduite en partenariat avec le groupe de presse Information Security Media Group (ISMG) auprès de plus de 225 entreprises américaines.

 * Guillaume Poupard :  https://www.franceinter.fr/emissions/l-invite-de-7h50/l-invite-de-7h50-15-mai-2017

  

 CIGREF: "Hormis le groupe Renault qui a indiqué à la presse qu’il était touché par cette attaque, les grandes entreprises et administrations françaises membres du CIGREF ne semblent pas à ce stade avoir été impactées par ce rançongiciel. Certaine ont activé leur cellule de crise "cyber" afin d’établir un diagnostic complet de l’état de leurs systèmes d’information, lancer les mises à jour de sécurité qui pourraient se révéler nécessaires et préparer le traitement d’éventuelles alertes qui se manifesteraient lundi matin."

http://www.cigref.fr/

 Lire aussi la face cachée du Net : DarNet et DeepWeb  Tribune de B. Grunemwald 

 

 

 

 

 

Sur la cyberattaque WannaCrypt

 

  • L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif ;
  • L’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées ;
  • Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges.

 

 Attribution: 

Le 16 mai, Kaspersky Lab annonce qu'un chercheur en sécurité de Google a posté sur Twitter un objet qui pourrait pointer du doigt une connexion entre les récentes attaques du ransomware WannaCry et le malware attribué au tristement célèbre groupe de hackers Lazarus, responsable d’une séries d’attaques dévastatrices contre des organisations gouvernementales, des médias et des institutions financières. Les plus importantes opérations associées au groupe Lazarus incluent les attaques contreSony Pictures en 2014, le cyber-braquage de la banque centrale du Bangladesh en 2016 et d’autres attaques similaires en 2017.

 

 

Réactions et conseils : 

 

 

ANSSI: 

 

Selon l'Agence nationale de la sécurité des systèmes d'informations, l'attaque informatique n'a pour l'instant pas fait d'autre victime en France que Renault.

L'ANSSI recommande:

 

- Il faut absolument que les organisations appliquent les correctifs de sécurité», a insisté la porte-parole.

- l'application immédiate des mises à jour de sécurité, qui permettent de corriger les failles exploitées pour la propagation» du virus informatique, et la déconnexion des équipements compromis en cas d'incident.

- ne pas payer de rançon. «Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé»

 

 https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/

 

 

 

 

 

 

ESET: https://www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/

 

The Responsible Response (ESET Blog)

Fortunately, to protect yourself against this latest threat, there is much that you can do, and you should probably get started sooner rather than later:
Install Anti-malware Software – You may have heard this over and over, and it seems very repetitive mentioning it now. However, if I had not encountered multiple instances where I was told, “It is a server, and we have firewalls, so I will leave anti-malware off of this machine” or “I have too many problems to install antivirus on this server”, I would not mention it. But, that has happened. So, I am stating it. Please install reputable anti-malware and give yourself a fighting chance at stopping this before you are affected.
As an example, ESET’s network protection module was already blocking attempts to exploit the leaked vulnerability at the network level before this particular malware was even created. ESET increased the protection level by adding detection for this specific threat as Win32/Filecoder.WannaCryptor.D; first detected in the 15404 VSDs, released May-12-2017, 13:20 CEST (UTC/GMT +02:00). Prior to that, ESET LiveGrid protected against this particular attack starting around 11:26AM CEST.
Update Your Windows Machines – Please! I know that patches can be very, very difficult to get deployed across the entire network. This one, you will want to install. It has been available since mid-April and actually stops the exploit from gaining a foothold in your environment. The patch listing for the entire listing of Equation Group files can be located here.
Be Intelligent! – As a person who researches infections, exploits and various other information security related items, knowing is half the battle. Especially when items are being leaked and created in this kind of rapid-fire fashion. Using Threat Intelligence , I was able to create the appropriate YARA rules that identified the droppers, files and characteristics pertaining to the Equation Groups leaked exploitation files. There has been a LOT of detections of these objects. My dashboard lit up like a Christmas tree within the last few weeks, and I do not expect it to stop anytime soon. This kind of intel, and more importantly, the feeds that are provided, could help you to make better decisions on what to protect and how to protect it (as in apply MS patches, are they targeting MY business, etc.)

 

 

Cyberisques-News-Fireyes-2017

 

Source FireEye

 

 

 

 Acronis Samy Reguieg, DG 

 

« Si l’attaque WannaCry a mis abruptement le public au fait des Ransomware, certains oublient que les cybercriminels exploitant les ransomware ont extorqué plus de 1 milliard de dollars aux victimes l'année dernière et que près de 47 % des entreprises ont déjà subi au moins une attaque de type ransomware. Bien qu'il soit relativement tentant de payer la rançon, c'est un mauvais pari : une victime sur cinq qui paie ne reçoit jamais le remède promis et le paiement ne contribue pas à dissuader l’attaquant d’effectuer d'autres attaques. Accepter l'extorsion par ransomware encourage les criminels et contribue à financer un peu plus leurs efforts de développement. Vous devez soit mettre en place une défense efficace, soit vous résoudre à devenir une victime répétée. »

« Ce que WannaCry démontre efficacement, c'est que les cybercriminels exploitent continuellement les possibilités qu’ils détectent. La progression du ransomware-as-a-service, grâce auquel les cybercriminels éditeurs de logiciels malveillants enrôlent des armées de criminels non qualifiés pour infecter les machines cibles fournit une preuve supplémentaire de la sophistication croissante et de la portée de cette menace qui se développe rapidement. »

« Le cataclysme que représente l’attaque survenue vendredi dernier forcera de nombreuses entreprises à prendre au sérieux la menace du ransomware. Le plus efficace pour véritablement sécuriser les données contre les ransomware - même contre les attaques aussi raffinées que WannaCry – reste de pouvoir bénéficier d’une solutions de protection des données combinant une défense active (solution de sécurité en temps réel) qui détecte et arrête le ransomware - même les variantes utilisant des exploits zero-day -  et un défense passive (solution de sauvegarde automatisée) qui répare automatiquement les fichiers endommagés par le ransomware et protège vos copies de sauvegarde de toute destruction/corruption. C’est ce que propose Acronis. »

« Les professionnels de la sécurité informatique recommandent également une approche multicouche et approfondie : maintenir un régime de sauvegarde rigoureux ; installer scrupuleusement les patchs correctifs concernant les vulnérabilités identifiées touchant les systèmes d'exploitation et les applications; déployer des solutions de protection de postes et les maintenir à jour ; segmenter les réseaux avec des pare-feux et des VLAN pour éviter la propagation de programmes malveillants ; et surtout éduquer les utilisateurs et les inviter à être vigilants face aux vecteurs d'infiltration, tels que des pièces jointes et/ou des liens douteux, des publicités en ligne infectées (malvertising) et des terminaux USB infectés.

Acronis vous recommande de bien mettre en place toutes ces mesures. » 

 

http://www.acronis.com/en-us/blog/posts/ransomware-just-became-global-pandemic-only-acronis-has-vaccine

 

 

 

 

Juniper Networks

 

Tandis que WannaCry (Wanna, Wcr ransomware), un ransomware auto-réplicant affecte les ordinateurs du monde entier et perturbe entreprises, fournisseurs de services pour les entreprises, gouvernements et particuliers, les acteurs de la sécurité informatique cherchent à comprendre les mécanismes de l’attaque pour adapter leurs recommandations.

Parmi eux, Juniper Networks, a publié le blog post suivant (incluant de nombreuses captures d’écran) :

https://forums.juniper.net/t5/Security-Now/Rapid-Response-The-WannaCry-Ransomware-Outbreak/ba-p/307835

Une nouvelle variante de WannaCry qui n'utilise pas le mécanisme "Killswitch" original a déjà été repérée. Les chercheurs soupçonnent actuellement que ce mécanisme cache une tentative de contournement de certains types de moteurs d'analyse dynamique qui répondent automatiquement aux demandes GET arbitraires, empêchant ainsi la « détonation » dans l'environnement et évitant de ce fait la détection.

De manière plus générale, concernant WannaCry, les informations au moment de la rédaction semblaient indiquer que le point d'infection initial au sein de la plupart des organisations repose sur des mécanismes traditionnels, principalement des courriels et des fichiers PDF livrés sur Internet grâce au botnet Necurs. La spécificité de WannaCry est évidemment sa capacité à s’éloigner du modèle «Patent Zero»  pour se propager rapidement sur un réseau compatible SMBv1.

L'exécution de code à distance non authentifiée SMBv1 (RCE) qui a permis le succès de WannaCry a été publiée dans le dépôt effectué par les ShadowBrokers le 14 avril 2017. Surnommée de manière non-officielle "EternalBlue", cette vulnérabilité a été traitée de manière préventive par Microsoft le 14 mars dans le bulletin de sécurité MS17 -010 .

 

Un regard sur le code de l'un des exemples publics d'EternalBlue révèle pourquoi il est si efficace : il ne nécessite absolument aucune interaction de la part de l'attaquant et facilite un mécanisme de distribution efficace pour le ransomware au sein des entreprisse vulnérables.

 

 

 

Sur la base de notre analyse, il est très probable que ce code soit utilisé directement par WannaCry

Si Microsoft s’est montré proactif en lançant un patch pour combler la vulnérabilité (MS17-010), de nombreux utilisateurs n'ont toujours pas déployé le correctif, comme en témoigne le succès de WannaCry. De plus, aucun patch n'a été publié pour Windows XP, système d’exploitation qui reste répandu dans certaines industries et régions du monde.

 

 

 

 

 C oLY70WAAEwycl

 

SOPHOS: 

 

Le ransomware WCry 2.0 : tout ce qu’il faut savoir !

Mises à jour en date du samedi 13 mai 2017, 13h15 ET :

  • Plusieurs rapports se sont concentrés sur la façon dont cette attaque a été lancée en utilisant un code de la NSA divulgué par un groupe de pirates appelés Shadow Brokers. C’est certainement ce qui semble avoir eu lieu sur la base de l’enquête menée par le SophosLabs. Un bilan plus détaillé à ce sujet sera établi en début de semaine prochaine.
  • Sophos continuera à mettre à jour son KBA (Knowledge Base Article) pour ses clients, à mesure que les événements se dérouleront. Plusieurs mises à jour ont été ajoutées aujourd’hui et sont résumées ci-dessous dans la section « Plus de conseils de la part de Sophos« .
  • Microsoft a pris l’initiative très inhabituelle de sortir une mise à jour de sécurité pour les plates-formes avec un support personnalisé (tel que Windows XP). Le géant du logiciel a déclaré dans un communiqué : « Nous savons que certains de nos clients utilisent des versions de Windows qui ne sont plus prises en charge. Ainsi, ces clients n’ont certainement pas reçu la mise à jour de sécurité publiée en mars dernier. Cependant, compte tenu de l’impact potentiel pour les clients et leurs entreprises, nous avons pris la décision de sortir une mise à jour de sécurité uniquement pour les plates-formes bénéficiant d’un support personnalisé, Windows XP, Windows 8 et Windows Server 2003, largement disponible en téléchargement.
  • Avec le code responsable de l’attaque de vendredi dernier dans la nature, nous devrons nous attendre à des répliques de ce dernier pour alimenter d’autres campagnes dans les prochains jours, afin de profiter de cette opportunité de gagner de l’argent, a déclaré Dave Kennedy, PDG et fondateur du conseil en sécurité informatique TrustedSec.
  • L’attaque aurait pu être pire, si elle n’avait pas été découverte accidentellement par un expert qui utilisait la handle Twitter @MalwareTechBlog, et qui est tombé sur un kill switch caché dans le code. L’expert a publié un compte rendu détaillé de ses résultats. Dans le post, il a écrit : « Une chose qui est très importante de noter, c’est que notre système de screening n’a arrêté que cet échantillon, et rien n’empêche les hackers de supprimer la vérification du domaine et d’essayer à nouveau, il est donc très important que tous les systèmes non patchés soient mis à jour aussi rapidement que possible. »

 

 

 

Avast: Jakub Kroustek, Threat Lab Team Lead chez Avast

« Nous avons observé un pic massif d’attaques WanaCrypt0r 2.0 hier, avec plus de 36 000 détections à date. Nous avons notamment constaté que les attaques semblent avoir ciblé principalement la Russie, l’Ukraine et Taiwan.

Cette attaque démontre de nouveau que le ransomware est une arme puissante qui peut aussi bien être utilisée contre les consommateurs que les entreprises.

Nous avons récemment observé des souches majeures de ransomwares délivrées à travers des documents Offices malveillants contenant des macros envoyés par email, ainsi que via des kits d’exploitation. Si le ransomware infecte via la pièce-jointe de l’email, un document Office malveillant doit d’abord être ouvert et les macros activées afin de permettre au ransomware d’être téléchargé. Lorsqu’un ransomware infecte via une exploitation, en général un site malveillant est visité et un ordinateur avec une vulnérabilité Zero-Day est ensuite exploité pour l’infecter avec le dit ransomware.

L’impact financier de l’attaque sur Telefonica, le National Health Service (NHS) britannique ou encore Renault, pour ne citer qu’eux, devrait être significatif et dépasser la demande de rançon. Il ressort que 85 % des ordinateurs de l’opérateur ont été touchés, et Telefonica aurait demandé à ses employés d’éteindre leurs ordinateurs et de rentrer chez eux, ce qui devrait entrainer de sérieuses conséquences financières pour l’entreprise.

Telefonica et les autres victimes de cette attaque ne devraient pas mettre trop de temps à retirer le ransomware, mais s’ils n’ont pas sauvegardés récemment les données et fichiers des employés, ils risquent de mettre un peu de temps à s’en remettre, en particulier si ces fichiers ont été chiffrés par le ransomware. »

 

 

BitDefender:

Les utilisateurs actuellement menacés par l'attaque mondiale de ransomware visant les ordinateurs Windows dans plus de 70 pays peuvent protéger leur système avec des solutions de sécurité telles que Bitdefender, ainsi qu'en appliquant les dernières mises à jour de sécurité de Microsoft, selon les experts. Le ransomware WannaCry chiffre les fichiers du PC infecté. Les hackers réclament une rançon pour récupérer les fichiers chiffrés.

 

 

Que faire pour rester protégés ?

 

1. Désactiver le service « Server Block Message » sur l'ordinateur si le patch est impossible.

 

2. Installer le patch

 

3. Sauvegarder ses données sur des disques durs non connectés au réseau ou à l'ordinateur.

 

4. Mettre à jour son logiciel et activer les mises à jour automatiques Windows

 

 

 

Les utilisateurs actuellement menacés par l'attaque mondiale de ransomware visant les ordinateurs Windows dans plus de 70 pays peuvent protéger leur système avec des solutions de sécurité telles que Bitdefender, ainsi qu'en appliquant les dernières mises à jour de sécurité de Microsoft, selon les experts. Le ransomware WannaCry chiffre les fichiers du PC infecté. Les hackers réclament une rançon pour récupérer les fichiers chiffrés.

Les utilisateurs actuellement menacés par l'attaque mondiale de ransomware visant les ordinateurs Windows dans plus de 70 pays peuvent protéger leur système avec des solutions de sécurité telles que Bitdefender, ainsi qu'en appliquant les dernières mises à jour de sécurité de Microsoft, selon les experts. Le ransomware WannaCry chiffre les fichiers du PC infecté. Les hackers réclament une rançon pour récupérer les fichiers chiffrés.

Pour rester protégé, il est important de maintenir son système d'exploitation Windows à jour avec les derniers correctifs de sécurité, via le système de mises à jour automatiques de Windows.

Ces attaques ont causé de serieuses perturbations à des hôpitaux, des télécoms mais aussi des usines. Le service de santé national du Royaume-Uni (NHS) fait partie des organisations les plus affectées.

 

En quoi cette attaque de ransomware est-elle différente ?

Contrairement à d'autres familles de ransomware, la souche virale de WannaCry ne se propage pas via des e-mails ou des liens infectés. Elle tire profit d'une faille de sécurité présente dans la plupart des versions de Windows pour s'exécuter automatiquement sur l'ordinateur de la victime. Selon divers rapports, cette attaque a été développée par la NSA (National Security Agency) aux États-Unis comme une cyber-arme et elle a été divulguée au grand public en avril, ainsi que d'autres informations classifiées, qui ont prétendument été volées à l'agence.

C'est en analysant le mécanisme d'infection que l'on peut déduire que WannaCry est une des plus grandes menaces visant aussi bien les entreprises que les particuliers. La liste des PC Windows vulnérables peut être trouvée via un simple scan Internet. Le code peut quant à lui être exécuté à distance, sans aucune interaction de la part de l'utilisateur. Une fois le PC infecté, il agit comme un vers ; il se réplique afin de se propager à d'autres ordinateurs

Notre analyse révèle que le composant de type ver est basé sur l'exploit EternalBlue, divulgué à travers les fuites de documents de la NSA. C'est une souche rare de malware qui associe le mécanisme de propagation agressif d'une cyber-arme avec le potentiel de destruction irréversible du ransomware. Jusqu'à présent, ce sont plus de 120 000 ordinateurs qui ont été infectés dans le monde.

Bitdefender a développé des technologies anti-ransomware afin de protéger ses utilisateurs contre ce type d'attaque sophistiqué, en forte croissance ces dernières années.

Etant donné que cette attaque peut infecter un nombre très important d'ordinateurs dans le monde, Bitdefender travaille actuellement sur un outil de déchiffrement gratuit pour aider les victimes à récupérer leurs données sans payer de rançon. Suivez Bitdefender sur Facebook ou Twitter pour être notifié de sa disponibilité.

Découvrez si vous êtes vulnérable. La vulnérabilité MS07-010 est présente dans quasiment toutes les versions de Windows, y compris Windows XP, Windows Vista et Windows Server2003. Dû à l'importance de la menace, Microsoft a décidé de patcher cette vulnérabilité sur tous les systèmes, même s'ils ne sont plus supportés. Si votre système n'a pas encore appliqué ce patch spécifique, vous êtes donc vulnérable et vous devez mettre à jour votre système immédiatement.

 

https://www.av-comparatives.org/wp-content/uploads/2017/04/avc_factsheet2017_03.pdf

Bitdefender travaille activement sur le développement d'un outil gratuit de déchiffrement pour aider les victimes à récupérer leurs données sans payer la rançon.

 

 

 

Trend Micro: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/wannacry-wcry-ransomware-how-to-defend-against-it

 

 

 

 

FireEye: 

 

« Le 12 mai 2017, une campagne de ransomware WannaCry très prolifique a touché les organisations à l'échelle mondiale, en particulier en Europe et au Moyen-Orient (EMEA). Les rapports initiaux indiquent que la prolifération de ransomware de WannaCry utilise une vulnérabilité SMB. Compte tenu de la distribution rapide et prolifique de ce système de ransomware, nous considérons que cette activité pose des risques élevés que toutes les organisations utilisant des machines Windows potentiellement vulnérables doivent répondre. Les organisations qui cherchent à prendre des mesures de gestion des risques liées à cette campagne peuvent implémenter un correctif pour le bulletin de sécurité Microsoft MS17-010 et tirer parti des indicateurs de compromis identifiés comme associés à cette activité. FireEye prend déjà des mesures pour sécuriser pleinement ses clients. »

 

John Miller - Manager Threat Intelligence

 

 https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html

 

The ransomware is spread using a known, and patched, vulnerability (MS17-010) that came from a leaked NSA set of exploits that we reported on our blog in April. Our research shows the encryption is done with RSA-2048 encryption. That means that decryption will be next to impossible, unless the coders have made a mistake that we haven’t found yet.

(source malwarebytes)


 

 Kroll Ontrack : 

Les particuliers et entreprises les plus exposés doivent prendre certaines précautions pour réduire les risques et amoindrir les effets d'une attaque. Ci-dessous se trouve une liste des mesures à prendre :


• Ne payez jamais la rançon car il se peut que les agresseurs ne débloquent jamais les données. Il existe de nombreux cas de victimes de ransomware ayant payé la rançon exigée et n'ayant jamais vu leurs données restituées. Plutôt que de courir ce risque, les entreprises doivent travailler avec les experts en récupération des données, lesquels peuvent être en mesure de récupérer l'accès aux données par le biais d'une ingénierie inversée du logiciel malveillant


• Créez un plan de sauvegarde et de récupération et suivez-le. Faites-en sorte que votre plan intègre le stockage des sauvegardes hors site


• Prenez soin de tester les sauvegardes de façon régulière. Les organisations doivent être au fait de ce qui est stocké dans les archives de sauvegarde et s'assurer que les données les plus critiques soient accessibles dans le cas où les ransomware cibleraient les sauvegardes


• Mettre en place des politiques de sécurité. Utilisez les logiciels antivirus et anti-malware les plus récents et contrôlez en permanence afin de prévenir toute infection


• Développez des politiques en matière de technologies et d'informatique qui limitent les infections sur les autres ressources réseau. Les entreprises doivent mettre en place des protections afin qu'un appareil infecté par un ransomware ne permette pas à ce dernier de se propager dans tout le réseau


• Assurez la formation des utilisateurs afin que tous les employés puissent repérer une attaque potentielle. Assurez-vous que les employés soient au fait des meilleures pratiques pour éviter le téléchargement accidentel d'un ransomware ou l'ouverture du réseau aux personnes extérieures.

 

Christophe Badot, DG Varonis

L¹attaque par ransomware a franchi un nouveau palier. Les entreprises partent désormais du principe que les hackers peuvent chercher à pénétrer leur réseau. Mais dans le cas présent, si une entreprise a un serveur dont les patchs ne sont pas à jour, alors elle fait le jeu des attaquants. Cette attaque par exploit particulièrement agressive subvertit les postes de travail et les contrôles d'accès aux données. Bien qu¹elle chiffre les fichiers comme n¹importe quelle campagne de ransomware, la différence ici est que les cybercriminels tirent profit des outils de piratage issus de la fuite de données de la NSA afin de répandre l'infection latéralement sur tous les appareils connectés au réseau. Une fois ce ransomware sur un serveur partagé, toutes les données sont susceptibles d¹être corrompues. Le principal risque de ce ransomware est que, une fois entré, il se répandra très largement, très rapidement et sera en mesure de corrompre l¹ensemble du système d¹information.

Pûre coïncidence : Trump signait au moment même où ce malware se répandait, une ordonnance désignant les « vulnérabilités connues mais encore incontrôlées » comme la plus grande menace de cybersécurité pesant sur les ministères et organismes gouvernementaux. Toutefois, la taille et la portée de cette infection montrent que la gestion des correctifs est également un problème d¹envergure mondiale pour les entreprises.

Sans surveillance de l¹activité des fichiers, les entreprises prennent des risques. Et cette cécité permet à l'attaque de se poursuivre plus longtemps et de se répandre plus rapidement. Les données ont besoin de micro-périmètres combinés à une surveillance active et une analyse comportementale afin de repérer immédiatement ces attaques de type « zero day ».

 

RADWARE: https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/

  

* Jean Philippe Bichard Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

BONUS:

 

https://www.ft.com/content/af74e3f4-373d-11e7-99bd-13beb0903fa3

 

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires