Alerte WanaCrypt0r

Une importante attaque de Ransomware a touché de nombreuses organisations à travers le monde. Le malware responsable de cette attaque est une variante de Ransomware connue sous le nom de ‘WannaCry’ appelé également WanaCryptor.

Le logiciel malveillant a alors la capacité de scanner sur le port TCP 445 (SMB v1), se déployant de manière similaire à un ver, compromettant les machines, cryptant les fichiers qui y sont stockés puis exigeant un paiement de rançon sous forme de Bitcoin.

Séquence de l’attaque et fonctionnement du malware

  • Le vecteur d’infection commence par un courrier électronique ciblé, à destination d’utilisateurs ayant des sujets en cours liés à l’information financière. Le courrier électronique contient des liens HTML.
  • Une fois que le HTML est exécuté et que l’utilisateur a été trompé, un « dropper » est installé sur la machine ciblée. Ce dropper scanne votre réseau, exploite des machines ayant la vulnérabilité MS17-010, et dépose alors WanaCrypt sur celles-ci.
  • Un premier fichier, appelé « mssecsvc.exe » est alors dépose et exécute le fichier « tasksche.exe » puis le service « mssecsvc2.0 » est créé.
  • Ce service exécute le fichier « mssecsvc.exe » avec un point d’entrée différent de l’exécution initiale. Cette seconde exécution vérifie l’adresse IP de la machine infectée et tente de se connecter au port 445 TCP de chaque adresse IP dans le même sous-réseau.
  • Lorsque le malware se connecte avec succès à une machine, une connexion est initiée et les données sont transférées. Il s’agit probablement de la charge utile. Ce mécanisme semble exploiter les vulnérabilités décrites récemment par Microsoft dans le bulletin MS17-010. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 et pour lesquelles l’ANSSI vient de publier une alerte : consultez le bulletin de sécurité.

  • Le fichier « tasksche.exe » vérifie les unités de disque, y compris les partages réseau et les périphériques de stockage. Le logiciel malveillant vérifie alors les fichiers avec une extension de fichier courante (document office, pdf, bmp, etc…) et les crypte en utilisant un chiffrement RSA 2048 bits.
  • Pendant que les fichiers sont cryptés, il supprime certains de ses propres fichiers fichiers: taskdl.exe & taskse.exe. Le premier supprime les fichiers temporaires tandis que le dernier lance « @ wanadecryptor @ .exe » pour afficher la note de rançon sur le bureau à l’utilisateur final. Le « @ wanadecryptor @ .exe » n’est pas en soi le Ransomware, seulement la note de rançon. Le cryptage est effectué en arrière-plan par « tasksche.exe ».
  • Le fichier tor.exe est exécuté, ce processus nouvellement exécuté lance des connexions réseau aux nœuds Tor. Cela permet à WannaCry de tenter de préserver l’anonymat en « proxifiant » leur trafic via le réseau Tor.
  • Comme bien souvent dans lorsque nous avons à faire à des Ransomwares, le logiciel malveillant supprime également tous les snapshots shadow copy sur la machine de la victime afin de rendre la récupération plus difficile.

Une fois le cryptage terminé, le malware affiche la demande de rançon.

Quoi faire en cas d’attaque ?

Si le code malveillant est découvert sur vos systèmes :

  • Déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • Alerter le responsable sécurité ou le service informatique au plus tôt.
  • Aller porter plainte auprès des services de gendarmerie ou police.
  • Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Les équipes Inforsud Diffusion restent à votre écoute pour toute question concernant cette attaque.

Ransomware : Etes-vous protégés ?

Comme nous vous l’avons annoncé, en 2017, nous vous accompagnerons dans la sécurisation de votre système d’information. Parmi les menaces les plus présentes ces derniers mois au sein des entreprises, se trouvent les ransomwares.

Un ransomware, c’est quoi vraiment ?
Cryptowall, Cryptolocker ou encore Teslacrypt font partie de la tristement célèbre famille des ransomwares : un programme malveillant qui se transmet via un mail ou un site internet. Un seul clic suffit à installer le logiciel qui chiffre toutes les données auxquelles il peut accéder. La récupération de ces données se fait en échange d’une rançon, payée en bitcoin (monnaie numérique difficilement traçable).

Un ransomware peut s’attaquer uniquement au poste de travail mais il peut également, selon la sécurisation du système d’information se propager à tout un réseau d’entreprise voire même à des Datacenters.
Si auparavant les attaques ciblaient les particuliers et de manière peu fréquente, aujourd’hui le nombre d’attaques connait une forte croissance et en particulier dans le monde professionnel.

Des chiffres qui parlent
En moyenne, les collaborateurs reçoivent 88 courriers et en envoient 34 chaque jour. Le spam représente entre 55 et 95% du trafic mail, mais les solutions anti-spam permettent d’en filtrer 90%.
Les ransomwares en entreprise ont doublé entre 2015 et 2016 et les prévisions pour l’année à venir tendent vers une hausse importante : Ils représentent aujourd’hui 1 mail sur 85.(source Symantec).
Pour contrer ces menaces, seules des solutions d’anti-spam et anti-virus couplées avec de nouvelles solutions émergentes spécifiques peuvent garantir la sécurisation de votre messagerie.

Altospam, une solution simple, abordable et performante
Depuis plusieurs années, nous travaillons en partenariat avec Oktey au travers de la solution Altospam qui couple anti-spam et anti-virus et qui en plus d’intégrer 5 anti-virus, a mis en place des technologies novatrices qui permettent de détecter les nouvelles formes de malwares dès leur apparition. En effet, la principale difficulté est bien d’arriver à détecter les nouveaux malwares avant même qu’ils ne soient classifiés comme tel.
Notre rôle est de vous accompagner au quotidien et de garantir le maintien en conditions opérationnelles de votre système d’information, c’est pourquoi nous devons vous alerter sur les risques parfois irréversibles de ne pas sécuriser vos messageries. En fonction de vos besoins et de votre infrastructure informatique, nous serons en mesure de vous proposer la solution adatpée à votre entreprise.

altospam


Votre diagnostic en 5 questions
Vérifiez rapidement si vous avez mis en place les actions indispensables pour garantir la sécurité de votre messagerie :

1- Vérifiez-vous toujours l'adresse mail de l'expéditeur ? (prenom_nom@gmail.com vs prenom-nom@gmail.com)
2- Avant de cliquer sur un lien dans un mail, passez-vous toujours la souris dessus pour visualiser l’adresse du site web ?
3- Etes-vous sûrs des pièces jointes reçues ?
4- Savez-vous filtrer les publicités ?
5- Etes-vous protégés du spam ?



Si vous n’avez pas validé l’ensemble de ces prérequis, nous vous invitons à prendre contact avec nos équipes pour répondre à vos questions et échanger sur le solutions à mettre en place : Liliane Lacombe : 05 62 16 76 01 liliane.lacombe@inforsud.com ou Joseph Carpentier : 05 62 16 76 02 joseph.carpentier@inforsud.com.
Vous trouverez ici plus d’informations sur la solution Altospam.