7 Mail Barthélemy Thimonnier 77185 Lognes +33181800770 [email protected] Accès au Portail UL

Ransomware, l’heure du bilan ! Le cas Wanacrypt0r

Ransomware, l’heure du bilan ! Le cas Wanacrypt0r - Article Upper-LinkTemps de lecture : 4 min.

Ransomware, l’heure du bilan ! Le cas Wanacrypt0r. Par David HALIFI, Directeur du Business Developpment et Christophe COSTE, Directeur des Opérations et Système d’Information chez Upper-Link

Nous avons connu cette année une attaque informatique sans précédent. Le virus Wanacrypt0r a touché pas moins de 150 Pays ! David Halifi et Christophe Coste, membres de la direction de l’ESN Upper-Link, s’expriment à nouveaux sur le ransomware. Un bilan sur la sécurité des systèmes d’informations, des pratiques en entreprise mais aussi de l’impact financier qui doit d’être sérieusement considéré.

D’après Europol 200 000 machines infectées et 150 pays touchés.

Cette attaque est sans précédent, en France Renault a fermé des usines, les hôpitaux anglais ont perdu l’accès à leur service informatique, en Thaïlande, c’est un gigantesque panneau publicitaire qui a affiché le message des pirates en lieu et place de son contenu habituel. En Allemagne, en Russie, dans plusieurs gares les panneaux d’information ne fonctionnent plus correctement. En Arabie Saoudite les écrans d’assistance de l’opérateur téléphonique STC ont été affectés empêchant de répondre aux clients, à Singapour des centres commerciaux ou encore en chine près de 29 000 entreprises ont été touchées. Ce ne sont que quelques exemples des dégâts causés par le virus Wanacrypt0r.

Les dates clés du ransomware le plus dangereux

  • La première version a été détectée pour la première fois le 10 février dernier par un chercheur de Malwarebytes.
  • La souche a fait ses premiers dégâts le 25 mars dernier.
  • La seconde version se déclare de manière massive le 12 mai.

Un mode opératoire basé sur les mauvaises pratiques des utilisateurs.

Une pièce jointe (Word ou PDF se trouvant dans un email) déclenche l’infection, les données sont chiffrées (Tout type de fichiers), une fenêtre apparaît sur l’écran demandant une rançon en bitcoins afin de décrypter les données et restaurer l’accès aux informations.

“Ce type d’infection est très classique et, malheureusement, nous constatons encore aujourd’hui que les utilisateurs ne sont pas assez sensibilisés aux risques encourus par un tel comportement.” constate Christophe COSTE, Directeur des Opérations et Système d’Information chez Upper-Link. “Après un tel événement, nous pourrions espérer un changement dans le comportement des utilisateurs. Toutefois, il est préférable d’agir de façon proactive sur l’organisation de son système d’information et la sécurisation de ses systèmes pour limiter le risque. L’information et la formation des utilisateurs doivent être continues.” ajoute David Halifi, Directeur du Business Developpment.

Comment fonctionne Wanacrypt0r ?

Le mode de propagation de Wanacrypt0r dépasse tous les autres rançongiciels connus. Ce dernier s’appuie sur les failles du serveur SMB de Windows et Windows Server. Des vulnérabilités jusqu’alors exploitées par la NSA, permettant à l’agence américaine de mettre en œuvre différents outils d’espionnage de l’Equation Group [ndlr : une unité de hackers soupçonnée d’être liés à la NSA] qu’avaient révélées les Shadow Brokers [ndlr : groupe de hackers connus pour avoir publié en 2016 des outils d’espionnages, entre autres].

Ces outils exploitant les vulnérabilités de SMB sont aujourd’hui en accès libre pour les pirates. Le kit FuzzBunch installe DoublePulsar sur des systèmes compromis qui se logea en mémoire et permet ainsi à un assaillant d’exécuter un shellcode sur le système Windows détourné. Une fois en place celui-ci permet de charger d’autres malwares. Il semblerait que ce soit le mode opératoire qui aurait été utilisé par les auteurs de WannaCrypt0r pour accélérer la diffusion de leur souche.

Quels OS sont vulnérables ?

Microsoft a précisé que le code d’exploitation utilisé par WannaCryptor est conçu pour fonctionner uniquement contre les Windows 7 et Windows Server 2008, ou des systèmes antérieurs tels que Windows XP.

Les patchs déployés par la firme de Redmond pour contrer la faille exploitée par Wanacrypt0r

Microsoft a patché (Microsoft Security Bulletin MS17-010 – Critical) les vulnérabilités qu’exploitent ces outils, mais dès mars 2017, un mois avant la divulgation des failles par les Shadow Brokers, des hackers chinois échangeant sur des forums faisait part de leur scepticisme quant à la robustesse de ces correctifs.

Le 12 mai un porte-parole de Microsoft déclarait dans un communiqué officiel « Aujourd’hui, nos ingénieurs ont ajouté la détection et la protection contre de nouveaux logiciels malveillants connus sous le nom de Ransom: Win32.WannaCrypt “. La firme précisait “travailler avec ses clients pour fournir une assistance supplémentaire”.

Comment se prémunir de ce type de menace ? Wanacrypt0r aurait-il pu être évité ?

Pour la SI

  • Dans l’immédiat appliquer le correctif Microsoft MS 17-010 disponible à l’adresse https://technet.microsoft.com/fr-fr/library/security/ms17-017.aspx
  • Si une machine est contaminée, sortez-la de votre réseau.
  • Assurez-vous que votre antivirus soit une version professionnelle et à jour.
  • Pensez que les vlans empêchent la diffusion des virus.
  • Les machines doivent être patchées régulièrement
  • Faites en sorte que votre parc de machine soit équipé d’un OS toujours supporté par l’éditeur.
  • Le cas échéant, mettez à jours les machines qui ont un OS qui n’est plus maintenu par l’éditeur.
  • Mettez en place une politique BYOD (Bring Your On Device) solide
  • Ne négligez pas votre politique de sécurité vers les devices mobiles (smartphone, tablettes, …) et devices personnels
  • Tenez-vous informés des attaques en cours et risques potentiels

“Cette liste semble basique. Toutefois, nous constatons régulièrement des manquements aux sein des entreprises. Ce qui explique l’ampleur des dégâts de Wanacrypt0r Nous avons travaillé sur des offres Pack UL en nous basant sur le retour d’expériences qu’on avait pu cumuler au sein d’Upper-Link. Ces solutions sont les fondements pour assurer un SI sécurisé, fonctionnel et flexible.” remarque Christophe COSTE. En Novembre 2016, Upper-Link communiquait déjà sur les risques liés au rançongiciels et virus et refaisait un piqûre de rappel en Février de cette année. “Nous continuons de penser que se baser sur les Pack UL  Sécurité, Pack UL Serveur et Pack UL Digital WorkPlace (environnement poste de travail et nomade) est une bonne méthode pour commencer à sécuriser son système d’information. Le passage vers le Cloud est une réponse efficace limitant les risques d’infestation et permettant de bénéficier de sauvegardes automatiques de chaque document.” Développe David HALIFI.

Pour les utilisateurs

  • Vérifier l’origine des messages
  • N’ouvrez pas les pièces jointes de message douteux
  • Effectuer régulièrement des sauvegardes
  • Respecter les chartes d’utilisation de l’outil informatique de votre entreprise

Une rencontre organisée par Upper-Link et Microsoft à destination des entreprises le 24 et 31 Mai

Tous les mois Upper-Link, en collaboration avec Microsoft, organise des rencontres networking avec les entreprises, PME et ETI sur des sujets liés au management des SI et au Cloud. “Ces rencontres nous les organisons depuis plus de deux ans et elles restent un moment d’échange important avec les entreprises autours de leurs interrogations et de la sécurisation de leurs données.” explique David HALIFI.

Le prochain thème sera “Comment sécuriser ses serveurs et données grâce au Cloud ?” et Upper-Link propose deux dates :

le 24 Mai au Campus Microsoft à Issy les Moulineaux (inscriptions ici)
le 31 Mai au siège d’Upper-Link à Lognes (inscription ici)

“Nous avions prévu le thème depuis quelques mois déjà et malheureusement il est aujourd’hui plus que d’actualité.” confie Christophe COSTE.

En support de ces deux rencontres, Upper-Link a programmé plusieurs dates de webinars sur le thème “Qu’est-ce que le Cloud Computing et “Optimiser ses coûts de Cloud Computing“. Vous retrouverez la totalité des dates des événements en suivant ce lien.