Attaque mondiale de "WannaCry" - toujours pas de soupir de soulagement possible
Après les premiers dommages réparés dus à "Wanna Cry", la cyber-attaque la plus importante menée à ce jour dans plus de 150 pays, un fait semble de plus en plus clair : le blocus du 12 mai 2017 sur les ordinateurs de la DB, de Renault, de FedEx ou de Telefonica et d'autres institutions ne pourrait que signifier le début d'une plus longue phase de chantage. Comment peut-on mettre la main sur les chevaux de Troie en circulation ? Une liste de contrôle.
Dans l'attaque "WannaCry" du vendredi 12 mai 2017, le logiciel de rançon déguisé a exploité une vulnérabilité du système d'exploitation Windows de Microsoft qui lui permettait d'infecter automatiquement de nouveaux ordinateurs. Cette "faille de sécurité" dans le système d'exploitation avait autrefois été sauvée par l'agence de renseignement américaine NSA pour sa surveillance, mais il y a quelques mois, des pirates informatiques inconnus l'avaient rendue publique, selon un rapport de l'agence de presse allemande DPA.
Les ordinateurs du monde entier ont été touchés par l'attaque. Ils ont été attaqués par des chevaux de Troie dits d'extorsion, qui les cryptent et exigent une rançon. Microsoft avait comblé la faille de sécurité correspondante en mars - mais seuls les ordinateurs sur lesquels la mise à jour a été installée étaient protégés.
La Suisse a été épargnée jusqu'à présent
200 000 victimes, 150 pays, contre 50 000 euros de rançon (les victimes devant s'arranger via Bitcoins) - les chiffres semblent impressionnants. Impressionnant car la première vague d'attentats a été stoppée relativement rapidement par hasard. Mais il est malheureusement encore trop tôt pour pousser un soupir de soulagement, d'une part parce que la véritable ampleur ne sera connue que progressivement et d'autre part parce que les attaques peuvent être relancées sans trop d'efforts. En savoir plus ici.
Selon les conclusions d'organismes officiels tels que la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI), seule une petite somme d'argent a été versée jusqu'à présent et pas un seul rouble n'a circulé en Suisse. Pour une fois, la Suisse a donc été épargnée. Cependant, le fait qu'apparemment aucune des parties concernées n'a vu ses données restituées, même si elles ont payé la rançon, soulève des questions sur les intentions des programmeurs de "WannaCry".
Apparemment, les expéditeurs n'ont pas les moyens de décrypter les données cryptées par le logiciel de rançon. Bien que certaines victimes aient déjà transféré les bitcoins extorqués. Pour en savoir plus, consultez l'analyse des chercheurs en sécurité ici.
Les experts pensent qu'il y aura d'autres attaques. Le nombre de vecteurs d'attaque sur les installations sensibles est trop important, de sorte que les attaquants ne s'arrêteront pas simplement. Selon les conclusions de la société de sécurité Check Point, quatre méthodes clairement distinctes ont été utilisées :
1.) Avec le WannaCryptor, les entreprises sont attaquées via une infection directe par les serveurs.
2.) Les courriels sont parsemés de liens malveillants.
3.) Les courriels contiennent également des pièces jointes PDF ou des fichiers ZIP malveillants, qui contiennent également des fichiers malveillants.
4.) En outre, des attaques par force brute ont été enregistrées contre les serveurs du RDP, qui diffusent également le logiciel de rançon en cas de succès.
(Plus d'informations sous cette rubrique Lien)
Contre-mesures opérationnelles
Ce qui s'est passé dans les hôpitaux espagnols et anglais en particulier rappelle le printemps 2016, lorsque le cheval de Troie à cryptage Locky a fait des ravages en Allemagne notamment et a conduit à des situations exceptionnelles similaires. Cette fois, cependant, le malware se répand comme un virus et se propage d'un ordinateur à l'autre sur l'ensemble du réseau.
Les organisations et leurs services informatiques doivent maintenant scanner leurs systèmes informatiques, bloquer les pièces jointes potentiellement dangereuses et tenter de filtrer le code malveillant. Mieux encore, des technologies de sécurité spéciales sont utilisées pour filtrer les codes malveillants des pièces jointes aux courriels avant que les employés ne puissent les ouvrir.
Les solutions permettant de détecter les sites web infectés garantissent également le blocage des liens contenus dans les courriers électroniques. Il existe également des solutions qui détectent et arrêtent les logiciels de rançon sur le point de terminaison en dernier recours et restaurent automatiquement les fichiers qui ont déjà été cryptés. Ici un clip de son fonctionnement :
Si de telles solutions sont utilisées, les organisations sont alors protégées contre les attaques avec WannaCry & Co. Cependant, les employés doivent également être formés à reconnaître les saisies suspectes et à les signaler aux autorités compétentes telles que MELANI.
La centrale d'enregistrement et d'analyse suisse MELANI recommande aux entreprises d'adapter leurs mesures de sécurité contre "WannaCry & Co" - voir l'actualité suivante Lien pour des procédures concrètes (formulées en anglais seulement pour le moment).
