#WannaCry #ransomware > une attaque informatique de portée mondiale crée la panique (WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r)

par | Mai 17, 2017 | Virus, malware | 0 commentaires

Des hôpitaux britanniques et des entreprises espagnoles ont été touchés par des virus, vendredi. Ils bloquent l’accès aux fichiers d’un ordinateur afin d’obtenir une rançon.

Les autorités américaines ont mis en garde vendredi 12 mai contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, recommandant de ne pas payer de rançon aux pirates informatiques. Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

…/…

WannaCry ransomware used in widespread attacks all over the world

Earlier today, our products detected and successfully blocked a large number of ransomware attacks around the world. In these attacks, data is encrypted with the extension “.WCRY” added to the filenames.

Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows. This exploit (codenamed “EternalBlue”) has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14.

Unfortunately, it appears that many organizations have not yet installed the patch.

…/…

CERT-FR : Propagation d’un rançongiciel exploitant les vulnérabilités MS17-010

US CERT : Alert (TA17-132A) / Indicators Associated With WannaCry Ransomware

WANNACRY RANSOMWARE: RECENT CYBER-ATTACK

Customer Guidance for WannaCrypt attacks

MS17-010 : Description de la mise à jour de sécurité pour le serveur Windows SMB datée du 14 mars 2017

Catalogue Microsoft®Update #KB4012598

Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows (XP, Vista, 8,…)

Nissan confirm Sunderland car plant brought to a halt by cyber attack which swept NHS; Hospitals and businesses across the world have been affected by the attack which began on Friday, including Sunderland-based car plant

MAJ : 13h30

Cyberattaque : Renault stoppe la production de plusieurs usines

MAJ : 16h30

Vague mondiale de cyberattaques : comment éviter que votre ordinateur soit infecté

MAJ : 18h00

Microsoft réagit face à la cyberattaque qui vise ses logiciels

L’éditeur a réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d’exploitation Windows à faire face à l’attaque informatique massive utilisant un logiciel de rançon appelé “Wannacry”.

MAJ : 19h15

L’ANSSI redoute un regain de blocages de données lundi (par Emmanuel Jarry)

PARIS (Reuters) – L’Agence nationale de la sécurité des systèmes d’information (Anssi) redoute une nouvelle vague de blocages de données en France en début de semaine, par les logiciels malveillants à l’origine d’une gigantesque cyberattaque mondiale vendredi.

Selon son directeur général, Guillaume Poupard, cette attaque a pour origine des vulnérabilités informatiques connues jusqu’à récemment de la seule Agence nationale de sécurité américaine (NSA) mais qu’un groupe de hackers a mis dans le domaine public pour le plus grand profit de cybercriminels …/…

les consignes de l’Anssi privilégient la prévention : mise à jour des logiciels, sauvegardes des données séparées des réseaux, vigilance accrue vis-à-vis des mails, des pièces jointes et des liens vers des sites web, déconnexion des ordinateurs infectés, réinstallation de logiciels propres …./…

MAJ : ALERTE CAMPAGNE DE RANÇONGICIEL – MISE À JOUR 14/05/2017

Le CERT-FR constate l’apparition d’un nouveau rançongiciel, “WannaCrypt”, qui exploite les vulnérabilités MS17-010 pour se propager. Il provoque le chiffrement de tous les fichiers d’un ordinateur ou d’un réseau. Des moyens existent pour y remédier.

…/…

Pour plus d’informations, vous pouvez consulter :

MAJ : 15/05/17

Alert (TA17-132A) Indicators Associated With WannaCry Ransomware

Initial reports indicate the hacker or hacking group behind the WannaCry campaign is gaining access to enterprise servers either through Remote Desktop Protocol (RDP) compromise or through the exploitation of a critical Windows SMB vulnerability. Microsoft released a security update for the MS17-010 (link is external) vulnerability on March 14, 2017. Additionally, Microsoft released patches for Windows XP, Windows 8, and Windows Server 2003 (link is external) operating systems on May 13, 2017. According to open sources, one possible infection vector is via phishing emails. …/…

Yara Signatures …/…

Solution

Recommended Steps for Prevention

  • Apply the Microsoft patch for the MS17-010 SMB vulnerability dated March 14, 2017.
  • Enable strong spam filters to prevent phishing e-mails from reaching the end users and authenticate in-bound e-mail using technologies like Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM) to prevent e-mail spoofing.
  • Scan all incoming and outgoing e-mails to detect threats and filter executable files from reaching the end users.
  • Ensure anti-virus and anti-malware solutions are set to automatically conduct regular scans.
  • Manage the use of privileged accounts. Implement the principle of least privilege. No users should be assigned administrative access unless absolutely needed. Those with a need for administrator accounts should only use them when necessary.
  • Configure access controls including file, directory, and network share permissions with least privilege in mind. If a user only needs to read specific files, they should not have write access to those files, directories, or shares.
  • Disable macro scripts from Microsoft Office files transmitted via e-mail. Consider using Office Viewer software to open Microsoft Office files transmitted via e-mail instead of full Office suite applications.
  • Develop, institute and practice employee education programs for identifying scams, malicious links, and attempted social engineering.
  • Have regular penetration tests run against the network. No less than once a year. Ideally, as often as possible/practical.
  • Test your backups to ensure they work correctly upon use.

Recommended Steps for Remediation

  • Contact law enforcement. We strongly encourage you to contact a local FBI field office upon discovery to report an intrusion and request assistance. Maintain and provide relevant logs.
  • Implement your security incident response and business continuity plan. Ideally, organizations should ensure they have appropriate backups so their response is simply to restore the data from a known clean backup.

Defending Against Ransomware Generally Precautionary measures to mitigate ransomware threats include:

  • Ensure anti-virus software is up-to-date.
  • Implement a data back-up and recovery plan to maintain copies of sensitive or proprietary data in a separate and secure location. Backup copies of sensitive data should not be readily accessible from local networks.
  • Scrutinize links contained in e-mails, and do not open attachments included in unsolicited e-mails.
  • Only download software – especially free software – from sites you know and trust.
  • Enable automated patches for your operating system and Web browser.

…/…

MAJ 18h08

@PoliceNationale > WannaCry > Rançongiciels > ransomware Payer la rançon ne garantit pas la récupération des données!

Protégez-vs avant qu’il ne soit trop tard

MAJ : 17/05/17

Attaque mondiale–WannaCry: Comment s’en protéger et détecter la faille

Pourquoi cette attaque est-elle sans précédent?

En fait c’est une attaque classique de Ransomware que nous subissons déjà depuis quelques années via l’envoi massif d’emails ce qui touche l’ensemble des utilisateurs et des entreprises de la planète. Rien de neuf sur l’objectif.

2 problèmes majeures s’ajoutent ici :

L’exploitation d’une faille Microsoft qui permet d’exécuter le ransomware sur les machines vulnérables à distance. Plus besoin qu’un utilisateur ouvre le fichier pour infecter la machine. Propagation automatisée avec montée en mémoire directe. Même principe que les anciens vers de réseau de type Kido (conficker) par exemple, rien de neuf non plus. https://support.kaspersky.com/fr/1956 Les anciens OS Microsoft Windows XP et Windows 2003 sont touchés. C’est la raison pour laquelle nous avons vu le ransomware sur des tableaux d’affichage ou sur les écrans d’usines de production. Ces équipements n’ont pas été renouvelés et n’utilisent pas de produit de sécurité capable de bloquer ce type d’attaque, ceci souvent pour des raisons de coûts. L’évaluation des risques n’a pas été réalisée de façon méthodique. Pourtant l’utilisation de produits spécifiques comme Kaspersky Embedded Systems Security ou Kaspersky Industrial CyberSecurity for Nodes sont efficaces même pour ce type de systèmes. …/…

—-