Le monde victime d’une cyberattaque massive

La déferlante des ransomware

Près de 150 pays, parmi lesquels le Royaume-Uni, l’Espagne, le Portugal, la Roumanie, la France ont été la cible, vendredi, d’une vague de cyberattaques simultanées et inédites. Le constructeur automobile français, Renault a annoncé avoir été touché, et cette cyberattaque touche déjà des centaines de milliers de systèmes informatiques. Le directeur d’Europole évoquait ce dimanche un chiffre de 200 000 victimes dans au moins 150 pays. Ne négligeons pas l’impact financier sur Renault, Telefonica, National Health Service (NHS) britannique pour ne citer qu’eux.

Le malware chiffre les données stockées sur les systèmes Windows auxquels le correctif n’a pas été appliqué ou les systèmes Windows XP pour lesquels le correctif n’était pas disponible. Pour obtenir la clé déchiffrant les données, les attaquants exigent le paiement d’une rançon en Bitcoin.

WannaCrypt, Wana Decrypt0r 2.0, WanaDecrypt0r, WannaCry, WanaCrypt0r, WCrypt et WCRY sont les variantes signalées.

Les attaques par ransomware se multiplient et les analyses le confirment « pour la première fois, de nouvelles formes de ransomware apparaissent désormais en moyenne une fois par jour. Au premier trimestre 2017, quatre fois plus de nouveaux ransomware qu’au quatrième trimestre 2016 sont apparus » constate Ryan Kalember, expert cybersécurité Proofpoint.

Cyberattaque massive / Surveillance active et analyse comportementale

Les entreprises doivent agir en amont et mettre en place des équipes dédiées pour surveiller et identifier tout accès non autorisé aux identifiants et ainsi bloquer toute progression rapidement.

Le besoin d’une surveillance active de l’activité des fichiers et d’une analyse comportementale est indispensable aujourd’hui.

Cette attaque par exploit chiffre les fichiers comme n’importe quelle campagne de ransomware, mais ici, «  les cybercriminels tirent profit des outils de piratage issus de la fuite de données de la NSA afin de répandre l’infection latéralement sur tous les appareils connectés au réseau. Une fois ce ransomware sur un serveur partagé, toutes les données sont susceptibles d¹être corrompues. Le principal risque de ce ransomware est que, entré, il se répandra très largement, très rapidement et sera en mesure de corrompre l’ensemble du système d’information »  souligne Christophe Badot, Directeur Général France, Luxembourg, et Suisse romande de Varonis.

Des rapports supplémentaires indiquent que cette souche de ransomware a été diffusée à l’aide de l’exploit EternalBlue dérobé à la NSA et rendu public par ShadowBrokers en avril

Echange d’informations et d’entraide

L’ANSSI a publié une alerte sur son site et recommande l’application immédiate des mises à jour de sécurité corrigeant les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l’éditeur) et limitant l’exposition du service de partage de fichiers sur Internet.

Face à l’ampleur de l’attaque et sans se substituer aux services compétents, le CIGREF a activé une plateforme d’échange d’informations et d’entraide sur la lutte contre le rançongiciel WannaCrypt, pour ses membres.

Autre moyen de lutter, sensibiliser les collaborateurs sur le sujet afin de disposer des bonnes pratiques et adopter les bon réflexes pour se protéger. Le vidéoquizz de Conscio Technologies décrypte les rancongiciels.