Wannacry : Une cyberattaque historique à décrypter

Protégez-vous des ransomware comme Wannacry

Des hôpitaux britanniques et des entreprises espagnoles ont été touchés par des virus, vendredi. Ils bloquent l’accès aux fichiers d’un ordinateur afin d’obtenir une rançon.

Les autorités américaines ont mis en garde vendredi 12 mai contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, recommandant de ne pas payer de rançon aux pirates informatiques. Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

…/…


WannaCry ransomware used in widespread attacks all over the world

Earlier today, our products detected and successfully blocked a large number of ransomware attacks around the world. In these attacks, data is encrypted with the extension “.WCRY” added to the filenames.

Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows. This exploit (codenamed “EternalBlue”) has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14.

Unfortunately, it appears that many organizations have not yet installed the patch.

…/…


CERT-FR : Propagation d’un rançongiciel exploitant les vulnérabilités MS17-010


US CERT : Alert (TA17-132A) / Indicators Associated With WannaCry Ransomware


WANNACRY RANSOMWARE: RECENT CYBER-ATTACK


Customer Guidance for WannaCrypt attacks

MS17-010 : Description de la mise à jour de sécurité pour le serveur Windows SMB datée du 14 mars 2017

Catalogue Microsoft®Update #KB4012598


Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows (XP, Vista, 8,…)


Nissan confirm Sunderland car plant brought to a halt by cyber attack which swept NHS; Hospitals and businesses across the world have been affected by the attack which began on Friday, including Sunderland-based car plant


MAJ : 13h30

Cyberattaque : Renault stoppe la production de plusieurs usines


MAJ : 16h30

Vague mondiale de cyberattaques : comment éviter que votre ordinateur soit infecté


MAJ : 18h00

Microsoft réagit face à la cyberattaque qui vise ses logiciels

L’éditeur a réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d’exploitation Windows à faire face à l’attaque informatique massive utilisant un logiciel de rançon appelé « Wannacry ».


MAJ : 19h15

L’ANSSI redoute un regain de blocages de données lundi (par Emmanuel Jarry)

PARIS (Reuters) – L’Agence nationale de la sécurité des systèmes d’information (Anssi) redoute une nouvelle vague de blocages de données en France en début de semaine, par les logiciels malveillants à l’origine d’une gigantesque cyberattaque mondiale vendredi.

Selon son directeur général, Guillaume Poupard, cette attaque a pour origine des vulnérabilités informatiques connues jusqu’à récemment de la seule Agence nationale de sécurité américaine (NSA) mais qu’un groupe de hackers a mis dans le domaine public pour le plus grand profit de cybercriminels …/…

les consignes de l’Anssi privilégient la prévention : mise à jour des logiciels, sauvegardes des données séparées des réseaux, vigilance accrue vis-à-vis des mails, des pièces jointes et des liens vers des sites web, déconnexion des ordinateurs infectés, réinstallation de logiciels propres …./…


MAJ : ALERTE CAMPAGNE DE RANÇONGICIEL – MISE À JOUR 14/05/2017

Le CERT-FR constate l’apparition d’un nouveau rançongiciel, « WannaCrypt », qui exploite les vulnérabilités MS17-010 pour se propager. Il provoque le chiffrement de tous les fichiers d’un ordinateur ou d’un réseau. Des moyens existent pour y remédier.

…/…

Pour plus d’informations, vous pouvez consulter :


MAJ : 15/05/17

Alert (TA17-132A) Indicators Associated With WannaCry Ransomware

Initial reports indicate the hacker or hacking group behind the WannaCry campaign is gaining access to enterprise servers either through Remote Desktop Protocol (RDP) compromise or through the exploitation of a critical Windows SMB vulnerability. Microsoft released a security update for the MS17-010 (link is external) vulnerability on March 14, 2017. Additionally, Microsoft released patches for Windows XP, Windows 8, and Windows Server 2003 (link is external) operating systems on May 13, 2017. According to open sources, one possible infection vector is via phishing emails. …/…

Yara Signatures …/…

Solution

Recommended Steps for Prevention

  • Apply the Microsoft patch for the MS17-010 SMB vulnerability dated March 14, 2017.
  • Enable strong spam filters to prevent phishing e-mails from reaching the end users and authenticate in-bound e-mail using technologies like Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM) to prevent e-mail spoofing.
  • Scan all incoming and outgoing e-mails to detect threats and filter executable files from reaching the end users.
  • Ensure anti-virus and anti-malware solutions are set to automatically conduct regular scans.
  • Manage the use of privileged accounts. Implement the principle of least privilege. No users should be assigned administrative access unless absolutely needed. Those with a need for administrator accounts should only use them when necessary.
  • Configure access controls including file, directory, and network share permissions with least privilege in mind. If a user only needs to read specific files, they should not have write access to those files, directories, or shares.
  • Disable macro scripts from Microsoft Office files transmitted via e-mail. Consider using Office Viewer software to open Microsoft Office files transmitted via e-mail instead of full Office suite applications.
  • Develop, institute and practice employee education programs for identifying scams, malicious links, and attempted social engineering.
  • Have regular penetration tests run against the network. No less than once a year. Ideally, as often as possible/practical.
  • Test your backups to ensure they work correctly upon use.

Recommended Steps for Remediation

  • Contact law enforcement. We strongly encourage you to contact a local FBI field office upon discovery to report an intrusion and request assistance. Maintain and provide relevant logs.
  • Implement your security incident response and business continuity plan. Ideally, organizations should ensure they have appropriate backups so their response is simply to restore the data from a known clean backup.

Defending Against Ransomware Generally Precautionary measures to mitigate ransomware threats include:

  • Ensure anti-virus software is up-to-date.
  • Implement a data back-up and recovery plan to maintain copies of sensitive or proprietary data in a separate and secure location. Backup copies of sensitive data should not be readily accessible from local networks.
  • Scrutinize links contained in e-mails, and do not open attachments included in unsolicited e-mails.
  • Only download software – especially free software – from sites you know and trust.
  • Enable automated patches for your operating system and Web browser.

…/…


MAJ 18h08

@PoliceNationale > WannaCry > Rançongiciels > ransomware Payer la rançon ne garantit pas la récupération des données!

Protégez-vs avant qu’il ne soit trop tard


MAJ : 17/05/17

Attaque mondiale–WannaCry: Comment s’en protéger et détecter la faille

Pourquoi cette attaque est-elle sans précédent?

En fait c’est une attaque classique de Ransomware que nous subissons déjà depuis quelques années via l’envoi massif d’emails ce qui touche l’ensemble des utilisateurs et des entreprises de la planète. Rien de neuf sur l’objectif.

2 problèmes majeures s’ajoutent ici :

L’exploitation d’une faille Microsoft qui permet d’exécuter le ransomware sur les machines vulnérables à distance. Plus besoin qu’un utilisateur ouvre le fichier pour infecter la machine. Propagation automatisée avec montée en mémoire directe. Même principe que les anciens vers de réseau de type Kido (conficker) par exemple, rien de neuf non plus. https://support.kaspersky.com/fr/1956 Les anciens OS Microsoft Windows XP et Windows 2003 sont touchés. C’est la raison pour laquelle nous avons vu le ransomware sur des tableaux d’affichage ou sur les écrans d’usines de production. Ces équipements n’ont pas été renouvelés et n’utilisent pas de produit de sécurité capable de bloquer ce type d’attaque, ceci souvent pour des raisons de coûts. L’évaluation des risques n’a pas été réalisée de façon méthodique. Pourtant l’utilisation de produits spécifiques comme Kaspersky Embedded Systems Security ou Kaspersky Industrial CyberSecurity for Nodes sont efficaces même pour ce type de systèmes. …/…


Retex :

Qu’est-ce que Wannacry ?

  • Wannacry est un ransomware, un logiciel malveillant qui bloque l’accès à vos fichiers ou à votre système en les chiffrant.
  • Pour les débloquer, les cybercriminels demandent une rançon en bitcoins.
  • Lancé en mai 2017, Wannacry a rapidement touché des centaines de milliers d’ordinateurs dans le monde entier.
  • Il s’est particulièrement propagé grâce à une faille de sécurité connue dans Windows : EternalBlue.

Comment Wannacry s’est propagé ?

  • Exploitation d’une faille de sécurité : Wannacry s’appuie sur EternalBlue, une vulnérabilité détectée par la NSA, rendue publique par un groupe de hackers, les Shadow Brokers.
  • Infection en chaîne : Une fois qu’un système est infecté, Wannacry scanne les réseaux pour propager le malware à d’autres ordinateurs vulnérables.
  • Propagation mondiale : En quelques heures, les systèmes de grandes entreprises, hôpitaux, institutions publiques, particuliers ont été touchés.

Les conséquences de l’attaque Wannacry

  • Hôpitaux paralysés : Au Royaume-Uni, le NHS (système de santé publique) a dû annuler des milliers de rendez-vous médicaux.
  • Entreprises bloquées : Plusieurs multinationales, comme Renault, ont dû suspendre leur production.
  • Un coût colossal : On estime les dommages économiques à plusieurs milliards de dollars.

Pourquoi Wannacry a eu un tel impact ?

  • Failles non corrigées : Beaucoup de systèmes informatiques n’avaient pas installé les mises à jour de sécurité pourtant disponibles.
  • Attaque ciblant des organisations critiques : Les hôpitaux, entreprises industrielles, institutions publiques utilisent souvent des systèmes obsolètes, faciles à pirater.
  • Vitesse de propagation : En quelques heures, l’attaque était mondiale.

Comment se protéger contre des attaques similaires ?

  • Maintenir les systèmes à jour : Installez toutes les mises à jour de sécurité dès qu’elles sont disponibles.
  • Sauvegarder régulièrement vos données : Conservez des copies hors ligne pour éviter de perdre des fichiers critiques.
  • Utiliser des antivirus et pare-feux fiables : Ils détectent, bloquent les logiciels malveillants avant qu’ils n’endommagent vos systèmes.
  • Former vos équipes : Les erreurs humaines sont souvent la porte d’entrée des cyberattaques.

Nous Contacter:

Vous souhaitez automatiser, renforcer votre sécurité informatique ?

Vous êtes au bon endroit !

Avec plus de 25 ans d’expertise, nous accompagnons nos clients dans la mise en place de solutions performantes et adaptées à leurs besoins. Qu’il s’agisse de sécuriser vos systèmes, de protéger vos données ou de former vos équipes, nous avons les outils et les compétences pour vous aider.

👉 Pourquoi choisir notre expertise ?

  • Une expérience éprouvée dans le domaine de la cybersécurité.
  • Des solutions sur-mesure pour répondre à vos enjeux spécifiques.
  • Une approche proactive pour anticiper les menaces.

Besoin de conseils ou d’un accompagnement personnalisé ?

  • N’attendez pas qu’il soit trop tard.
  • Contactez-nous dès aujourd’hui pour discuter de vos projets, découvrir comment nous pouvons sécuriser efficacement votre environnement numérique.

🛡️ Protégez votre avenir digital avec des experts de confiance !


 


En savoir plus sur La sécurité informatique simplifiée : nos services de protection globale

Subscribe to get the latest posts sent to your email.

En savoir plus sur La sécurité informatique simplifiée : nos services de protection globale

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture