Alerte WanaCrypt0r

Une importante attaque de Ransomware a touché de nombreuses organisations à travers le monde. Le malware responsable de cette attaque est une variante de Ransomware connue sous le nom de ‘WannaCry’ appelé également WanaCryptor.

Le logiciel malveillant a alors la capacité de scanner sur le port TCP 445 (SMB v1), se déployant de manière similaire à un ver, compromettant les machines, cryptant les fichiers qui y sont stockés puis exigeant un paiement de rançon sous forme de Bitcoin.

Séquence de l’attaque et fonctionnement du malware

  • Le vecteur d’infection commence par un courrier électronique ciblé, à destination d’utilisateurs ayant des sujets en cours liés à l’information financière. Le courrier électronique contient des liens HTML.
  • Une fois que le HTML est exécuté et que l’utilisateur a été trompé, un « dropper » est installé sur la machine ciblée. Ce dropper scanne votre réseau, exploite des machines ayant la vulnérabilité MS17-010, et dépose alors WanaCrypt sur celles-ci.
  • Un premier fichier, appelé « mssecsvc.exe » est alors dépose et exécute le fichier « tasksche.exe » puis le service « mssecsvc2.0 » est créé.
  • Ce service exécute le fichier « mssecsvc.exe » avec un point d’entrée différent de l’exécution initiale. Cette seconde exécution vérifie l’adresse IP de la machine infectée et tente de se connecter au port 445 TCP de chaque adresse IP dans le même sous-réseau.
  • Lorsque le malware se connecte avec succès à une machine, une connexion est initiée et les données sont transférées. Il s’agit probablement de la charge utile. Ce mécanisme semble exploiter les vulnérabilités décrites récemment par Microsoft dans le bulletin MS17-010. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 et pour lesquelles l’ANSSI vient de publier une alerte : consultez le bulletin de sécurité.

  • Le fichier « tasksche.exe » vérifie les unités de disque, y compris les partages réseau et les périphériques de stockage. Le logiciel malveillant vérifie alors les fichiers avec une extension de fichier courante (document office, pdf, bmp, etc…) et les crypte en utilisant un chiffrement RSA 2048 bits.
  • Pendant que les fichiers sont cryptés, il supprime certains de ses propres fichiers fichiers: taskdl.exe & taskse.exe. Le premier supprime les fichiers temporaires tandis que le dernier lance « @ wanadecryptor @ .exe » pour afficher la note de rançon sur le bureau à l’utilisateur final. Le « @ wanadecryptor @ .exe » n’est pas en soi le Ransomware, seulement la note de rançon. Le cryptage est effectué en arrière-plan par « tasksche.exe ».
  • Le fichier tor.exe est exécuté, ce processus nouvellement exécuté lance des connexions réseau aux nœuds Tor. Cela permet à WannaCry de tenter de préserver l’anonymat en « proxifiant » leur trafic via le réseau Tor.
  • Comme bien souvent dans lorsque nous avons à faire à des Ransomwares, le logiciel malveillant supprime également tous les snapshots shadow copy sur la machine de la victime afin de rendre la récupération plus difficile.

Une fois le cryptage terminé, le malware affiche la demande de rançon.

Quoi faire en cas d’attaque ?

Si le code malveillant est découvert sur vos systèmes :

  • Déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • Alerter le responsable sécurité ou le service informatique au plus tôt.
  • Aller porter plainte auprès des services de gendarmerie ou police.
  • Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Les équipes Inforsud Diffusion restent à votre écoute pour toute question concernant cette attaque.

Alerte Sage DSN


Nous relayons pour nos clients une alerte émanant de notre partenaire Sage concernant les entreprises en production Phase 1 de la DSN.

Des difficultés techniques sont rencontrées par Net Entreprises depuis l’ouverture de la phase 2 lors de la reconstitution en AED de signalements de fins de contrat de travail déclarés en norme DSN phase 1.

En attendant le correctif, les entreprises en production Phase 1 qui transmettent des signalements FCT sont donc invitées à utiliser l’ancienne procédure AED jusqu’au 27 avril 2015.

Il est à noter que la reconstitution en AED sur fins de contrat de travail déclarées en norme Phase 2 fonctionne.

N’hésitez pas à revenir à contacter notre service support pour tout renseignement complémentaire : 0811 349 609 ou par mail : assistance.sage@inforsud.com.

Risque d’attaques informatiques important à partir du 15 Janvier 2015

Agence nationale pour la Sécurité des Systèmes d'Information
Agence nationale pour la Sécurité des Systèmes d’Information

La gendarmerie nationale vient d’émettre un bulletin d’alerte important nous informant qu’une série d’attaques informatiques seraient en préparation depuis plusieurs mois. Cette vague se déclencherait à compter du Jeudi 15 Janvier 2015.

Nous vous recommandons donc d’observer la plus grande attention à tous changements « originaux » pouvant se produire dans vos systèmes d’informations, ainsi qu’à vérifier que vos sites webs visibles depuis Internet ne sont pas victimes de telles attaques. En cas de soucis, n’hésitez pas à prendre contact avec notre service d’assistance technique assistance@inforsud.com. Nous vous recommandons également cet article sur le FOVI.

Le bulletin d’alerte complet, présentant les démarches à suivre en cas d’attaque, ainsi que quelques bonnes pratiques à respecter, est disponible ici : Fiche Information Attaque 15 Janvier 2015