GPMSE Fédération informe ses adhérents des recommandations de l’ANSSI
Depuis le 27 juin, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) constate l’installation et la propagation d’un programme malveillant de type rançongiciel. Celui-ci dispose de plusieurs capacités pour se propager sur le réseau des victimes, soit en utilisant les identifiants (login, mot de passe) obtenus sur les machines infectées, soit en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010). Le rançongiciel cible également le partage réseau via les deux techniques précédemment citées. Cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux qui, malgré l’application de mises à jour, ne restreignent pas la propagation d’une machine à l’autre.
Qu’est-ce qu’un RANÇONGICIEL ?
Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui indique les instructions utiles au paiement de la rançon.
Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être bloqués, mais les conséquences peuvent aussi s’étendre au reste du système d’information. Si l’infection initiale arrive souvent (mais pas nécessairement) par un courrier électronique piégé, le programme peut aussi chercher à se propager de manière autonome sur le reste du système d’information et au travers de ses interconnexions en exploitant des vulnérabilités à distance.
Sur chaque machine infectée, si le rançongiciel dispose des privilèges suffisants, il force un redémarrage et modifie le secteur de démarrage de Windows afin d’afficher le message de demande de rançon et rendre inaccessibles les données.
Lorsque le rançongiciel ne dispose pas de privilèges élevés, il chiffre les fichiers de l’utilisateur en fonction de leur extension
En l’état actuel des connaissances, il convient de considérer que toutes les versions de Windows sont susceptibles d’être affectées. Les serveurs ainsi que les postes de travail font partie du périmètre d’infection possible.
Recommandations de sécurité
L’ANSSI recommande :
- l’application immédiate des mises à jour de sécurité (à titre préventif, plus particulièrement celle de Microsoft MS17-010) ;
- le respect des recommandations génériques relatives aux rançongiciels ;
- de limiter l’exposition du service de partage de fichiers sur Internet;
- de ne pas payer la rançon. Le paiement ne garantit en rien la récupération de vos données.
Pour limiter la propagation de ce rançongiciel, l’ANSSI recommande également les mesures techniques suivantes :
- d’empêcher l’exécution de PSExec sur les machines ;
- d’empêcher la création de processus à distance par WMI;
- d’empêcher l’exécution de C:Windowsperfc.dat
À noter : la recommandation relative au killswitch « créer un fichier vide C:Windowsperfc » reste d’actualité mais son efficacité n’est aucunement garantie.
À noter : il importe de consulter la liste exhaustive actualisée des recommandations techniques de sécurité sur le dernier bulletin d’alerte du Cert-fr.
De manière préventive, s’il n’est pas possible de mettre à jour un serveur ou un ordinateur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires. En complément, les bases de signatures d’anti-virus doivent être mises à jour.
En cas d’incident – Mesures RÉACTIVES
Si le code malveillant est découvert sur vos systèmes :
- Déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés ;
- Alertez le responsable sécurité ou le service informatique au plus tôt ;
- Sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
Pour éviter toute mauvaise surprise, le centre de veille et d’alerte de l’ANSII, le CERT-FR, appelle à appliquer les mises à jour de sécurité et “limiter l’exposition du service SMB”, un des principaux vecteurs de la propagation de WannaCry. Ce nouveau malware embarquerait également l’outil de piratage EternalBlue qui permet au code de se propager automatiquement, via le réseau, grâce aux connexions SMB. Il se pourrait aussi que le code malveillant ait été modifié pour ne pas se faire repérer directement par les logiciels antivirus.
——————————————————–
Autres informations – appuyées par un expert…
Le code malveillant a bien été modifié pour ne pas se faire repérer directement par les logiciels antivirus… Méthode très classique, l’objectif pour ces pirates étant d’utiliser tout type de vulnérabilité dans un système, comme plus particulièrement les logiciels non mis à jour.
C’est la raison pour laquelle nous recommandons à nos adhérents de mettre à jour l’ensemble de leur système d’exploitation et logiciels, à commencer par Windows, Microsoft… Sans oublier l’antivirus, conçu pour repérer les virus et les bloquer avant qu’ils n’infectent l’ordinateur, détecter la présence de programmes néfastes, puis les mettre en quarantaine voire les éradiquer. Les pirates informatiques modifient les codes pour ne pas se faire repérer. Aussi, il est vivement recommandé de mettre à jour votre antivirus quotidiennement, voire plusieurs fois par jour. En effet, si la version initiale n’a pas détecté l’infection, la prochaine mise à jour va permettre de le repérer, le fournisseur d’antivirus ayant reçu, entretemps, l’information relative à l’existence de nouveaux codes malveillants.
Enfin, cette chasse aux rançongiciels sera d’autant plus efficace, dans votre entreprise, qu’un antivirus sera mis en place sur chaque poste de travail et sur le serveur, et qu’une mise à jour sera réalisée très régulièrement.
De Grands Groupes ont été cités mais quelques PME auraient également été impactées...
Tout d’abord, Guillaume Poupard, lors de la Conférence sur la Cybersécurité, hier, organisée par l’Usine Digitale a indiqué “Il y a beaucoup d’erreurs sur les noms d’entreprises touchées qui circulent dans la presse. On a vérifié avec certains, c’est faux. Par contre, quand les victimes sont touchées, c’est extrêmement grave. Cela va les obliger à repenser complètement leur stratégie en termes de sécurité numérique“.
GPMSE Fédération rappelle que, pour favoriser un rapide « retour à la normale », en cas d’attaque, il est indispensable de sauvegarder quotidiennement les données. Par ailleurs, il est préconisé de ne pas supprimer les sauvegardes précédentes. En effet, en cas d’attaque, celles-ci peuvent très précieuses, notamment pour obtenir des preuves.
——————————————————-
Pour plus d’informations, vous pouvez consulter :
- le bulletin d’alerte du Cert-fr régulièrement mis à jour ;
- la note d’information du Cert-fr sur la protection contre les rançongiciels ;
- La plaquette de prévention Ne soyez plus otage des rançongiciels !