WannaCry, le point, rapide (TA17-132A)
Bref état des lieux à propos du ransomware WannaCry
Origine: Bulletin d'alerte CERT TA17-132A
Nom(s): WannaCry (WCry, Wanna Decryptor, WannaCrypt, .wnCry)
Type: Rançongiciel, vers (Ransomware, Worm), rançon de .1781 bitcoins, environ $300 U.S
Découvert: 12 Mai 2017
Chiffres
Nombre d'infections : dizaines de milliers
Localisation: 150 pays
Traduit en 27 langues.
Vecteur
Principal: Phishing (via email).
Description
Bulletin de sécurité MS17-010[^MS17-010].
Manière d'opérer
Exploite une vulnérabilité dans le protocole Windows SMB (Server Message Block).
Un exécutable malveillant qui contient le rançongiciel,
essaye directement d'exploiter la faille MS17-010[^MS17-010] (EternalBlue/SMBv1.0), pour se propager.
Ensuite, deux autres fichiers contiennent des composants ("plugins", cryptés), qui s'occupent de crypter les données de la victime.
Symptômes marquant (non exhaustifs)
- Un service nommé "mssecsvc2.0" est créé (l'encrypteur)
- Le ransomware s'enregistre en tant que C:\WINDOWS\tasksche.exe
Kill switch
Un jeune expert en sécurité (chez MalwareTech) a remarqué que le rançongiciel effectue une requête HTTP sur l'url:
"http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com"
Ceci avant de commencer son activité.
Si la requête arrive à établir la connexion, le logiciel se termine(!), typiquement le modèle d'un "kill switch" ou interrupteur général.
Impact
- Perte permanente ou temporaire d'information sensible ou propriétaire;
- Dérangement des opérations normales;
- Perte financières dûes à l'effort nécessaire à restaurer les systèmes et les fichiers;
- Atteinte potentielle à la réputation de l'entreprise.
Remarques
- Payer la rançon ne garantit pas le décryptage des fichiers,
- Le décryptage des fichiers ne signifie pas que le logiciel malveillant a été éliminé (il faut restaurer les systèmes également).
Patches
Via Windows Update ou dans le catalogue des mises-à-jour Microsoft qui peuvent être installées indépendamment.
Pour tous les systèmes affectés
Prévention
Recommandations (US CERT)
- Appliquer la mise-à-jour nécessaire MS17-010[^MS17-010].
- Activer les filtres anti-SPAM les plus agressifs
- En sortie (SMTP) pour éviter la propagation,
- En entrée, activer les protocoles d'authentification
existants comme SPF, DMARC et DKIM (en ordre avec
comptes o365, chez Infomaniak vérifier DKIM).
- Vérifier chaque email et ne pas laisser passer des
programmes exécutables par email (.exe).
- Vérifier anti-virus / malware et scanner régulièrement
- Gérer les comptes administrateurs correctement et ne pas
utiliser de comptes administrateurs pour l'utilisation
normale de la station de travail.
- Configurer les accès corrects et minimaux aux ressources partagées. Les utilisateurs n'ayant pas besoin de droits en écriture devraient avoir des accès en lecture seule.
- Désactiver l'exécution de macros dans les documents Microsoft Office reçus par email. Lorsque possible n'utilisez pas les programmes Microsoft Office complets pour visualiser des documents reçus par email.
- Sur les PC Windows 10, téléchargez l'application gratuite Word Mobile à partir du Windows Store.
- Sur les appareils iOS, téléchargez l'application gratuite Word pour iOS à partir de l'Apple Store.
- Sur les appareils Android, téléchargez l'application gratuite Word pour Android à partir de Google Play Store.
- Sur les PC Windows 7 ou Windows 8/8.1, téléchargez le fichier dans OneDrive et affichez-le gratuitement à l'aide de Word Online.
- Formez vos utilisateurs à l'identification d'arnaques par email, la reconnaissance de liens malveillants, et les attaques par ingéniérie sociale.
- Effectuez des tests de pénétration réguliers sur votre réseau, pas moins d'une fois par année; idéalement aussi souvent que cela reste pratique de le faire.
- Testez vos backups pour vous assurer qu'ils fonctionnent correctement à l'usage.
Recommandations pour la protection du réseau
Lorsque l'application du patch MS17-010[^MS17-010] n'est pas possible, le CERT recommande de désactiver le protocole SMBv1 et de bloquer le trafic réseau SMB au niveau des routeurs (ports UDP 137-138 et TCP 139). La plupart des routeurs le font par défaut, pour ne pas exposer les resources partagées sous Windows à l'extérieur du réseau local.
A noter d'autre part que désactiver SMBv1 n'est possible que si l'on utilise pas le partage de resources réseau Windows, ce qui est peu probable dans un réseau d'entreprise.
D'autres recommandations et bonnes pratiques sur la protection et le renforcement de la sécurité de réseau d'entreprise sont citées dans ce bulletin d'alert du CERT, mais elles dépassent un peu le cadre de l'alerte spécifique à WannaCry, je ne les reprends pas ici.
En cas d'infection
- Le signaler aux autorités locales et fournir les journaux d'activités relatifs;
- S'assurer de restaurer les données depuis un backup propre.
Protection rançongiciel: règles générales
- Anti-virus à jour.
- Backups hors site réguliers.
- Vigilance avec les liens et pièces jointes dans les emails de source inconnue.
- Téléchargement de logiciels seulement depuis des sources connues.
- Mises-à-jour automatiques.
Références
Les lectures laissées en référence par le CERT sont intéressantes et reprises ici:
[^MS17-010]: Bulletin de sécurité Microsoft® Microsoft MS17-010