Le 12 mai, une attaque ransomware a été déclenchée, impactant de nombreuses organisations à travers le monde. Les chercheurs de Kaspersky Lab ont analysé les données et peuvent confirmer que les systèmes de protection pour les entreprises ont détecté au moins 45 000 tentatives d’infection dans 74 pays, la plupart en Russie.
L’attaque exploite une vulnérabilité réseau connue et décrite dans le bulletin de sécurité Microsoft MS17-010. L’exploit utilisé, “Eternal Blue” a été révélé par le groupe Shadowbrokers le 14 avril. Une fois dans le système, les attaquants installent un rootkit qui leur permet de télécharger le logiciel pour chiffrer les données. Le logiciel malveillant chiffre les fichiers. Une demande de 600 $ en Bitcoin s’affiche et la somme augmente avec le temps.
Les experts Kaspersky Lab tentent actuellement de déterminer s’il est possible de déchiffrer des données. Les solutions de sécurité de Kaspersky Lab détectent les logiciels malveillants utilisés dans cette attaque par les noms de détection suivants :
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- Trojan.Win32.Generic (le module System Watcher doit être activé)
Nous vous recommandons de prendre les mesures suivantes pour réduire le risque d’infection et propagation :
- Installez le correctif officiel de Microsoft qui ferme la vulnérabilité utilisée dans l’attaque
- Assurez-vous que les solutions de sécurité sont activées sur tous les noeuds du réseau
- Si la solution de Kaspersky Lab est utilisée, assurez-vous qu’elle comprend le System Watcher (un module de détection proactif) et que celui-ci est activé
- Exécutez la tâche « Analyse rapide » (Mémoire système, Objets de démarrage automatique, Secteurs d’amorçage) dans la solution Kaspersky Lab pour détecter une éventuelle infection au plus tôt (sinon, elle sera détectée automatiquement si elle n’est pas désactivée dans les 24 heures).
- Redémarrez le système après avoir détecté MEM:Trojan.Win64.EquationDrug.gen
- Utilisez les services personnalisés de rapports et de renseignements sur les menaces
Une description détaillée des méthodes utilisées par WannaCry et Indicators of Compromise se trouve dans le blog Securelist.
Vous trouverez aussi sur notre base de connaissance un article rassemblant toutes les informations sur cette attaque.
Cyberattaque WannaCry : Êtes-vous en sécurité ?
Utilisez un anti-virus fiable. Kaspersky Internet Security peut détecter WannaCry à la fois localement et pendant les tentatives de diffusion sur un réseau. De plus, System Watcher, un module intégré, a pour fonction de bloquer les modifications indésirables, ce qui signifie qu’il empêchera le cryptage des fichiers, même pour les versions malveillantes qui ne sont pas encore dans les bases de données antivirus. …/…
WannaCry: Comment s’en protéger et détecter la faille
