Que s'est-il passé ?
Une attaque par ransomware se propage très rapidement parmi les systèmes Windows non corrigés dans le monde entier. Ce matin, on a d'abord cru que l'attaque visait le service national de santé britannique, mais il est apparu au fil de la journée qu'il s'agissait d'une attaque mondiale.
Les laboratoires Kaspersky ont signalé vendredi après-midi qu'au moins 45 000 hôtes dans 74 pays étaient infectés. Avast, quant à lui, fait état de 57 000 infections dans 99 pays. Et ce, en l'espace de 10 heures seulement. Parmi les hôtes infectés, la Russie, l'Ukraine et Taïwan étaient les principales cibles.
Selon un rapport, un portefeuille bitcoin est utilisé par le ransomware pour collecter des transactions entrantes d'une valeur comprise entre 0,15 et 0,3 BTC, soit environ 250 à 500 dollars aujourd'hui. Cela signifie que des personnes paient pour débloquer des fichiers cryptés dans le cadre de l'attaque. Ce montant est intéressant car il est suffisamment bas pour inciter une personne à payer dans l'espoir de restaurer ses données, ce qui permet à l'attaquant d'engranger des bénéfices substantiels en raison du grand nombre d'ordinateurs infectés. Il s'agit d'une attaque de ransomware à l'échelle économique.
Comment une attaque d'une telle ampleur est-elle possible ?
Les Shadow Brokers ont déversé sur le monde un ensemble d'outils puissants, permettant à toute personne capable de télécharger un fichier d'effectuer de nombreuses opérations de piratage. Le contenu du trésor des Shadow Brokers comprend des binaires compilés pour des exploits qui ciblent les vulnérabilités d'une longue série de systèmes d'exploitation Windows, y compris Windows 8 et Windows 2012. Il s'agirait d'outils de piratage utilisés autrefois par la NSA.
L'une des vulnérabilités Windows contenues dans le cache est baptisée EternalBlue. Elle exploite un bogue d'exécution de code à distance dans Windows 7 et 2008 utilisant les protocoles Server Message Block (SMB) et NetBT. La vulnérabilité exploitée permet l'exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1). L'examen du code du ransomware montre des indicateurs qu'il utilise cet exploit EternalBlue.
Comment se fait-il qu'il pénètre dans le pays ?
Il peut s'agir d'une attaque phishing , d'une attaque par trou d'eau ou d'une machine déjà infectée faisant partie d'un réseau de zombies acheté par l'attaquant pour propager le ransomware au sein de l'organisation. Il suffit d'infecter l'ordinateur d'une personne au sein d'un réseau par le biais d'une attaque phishing , puis, à l'aide de l'exploit sur lequel il est basé, de le propager via le réseau à d'autres ordinateurs Windows.
Ainsi, un utilisateur ne pourra pas toujours se protéger en faisant simplement attention à ne pas ouvrir un courriel phishing provenant d'une source inconnue ou à ne pas ouvrir un document suspect.
Le phénomène se propage très rapidement et très largement
Compte tenu de la vitesse et de l'ampleur des attaques, il est probable qu'il pénètre par une machine et se propage latéralement à l'intérieur en utilisant une forme de lecture de balayage/exploitation. Les ransomwares de ce type n'ont pas besoin de signaux de commande et de contrôle externes, et les défenses périmétriques traditionnelles sont donc inutiles, car elles attendent un rappel du ransomware pour détecter et empêcher la propagation d'une attaque par ransomware.
Obtenir un seul hôte infecté dans un millier de réseaux n'est pas difficile pour une vulnérabilité non corrigée. C'est la course aux armements entre l'attaquant qui exploite les vulnérabilités de Windows publiées par les Shadow Brokers et les organisations qui doivent encore appliquer le correctif publié par Microsoft.
Riposte
Les logiciels non pris en charge sont un problème récurrent qui met en évidence les limites des mises à jour logicielles et des correctifs en tant que première ligne de défense. Microsoft a fourni un correctif pour cette vulnérabilité qui est disponible, mais cela ne signifie pas qu'il a été mis en œuvre sur tous les ordinateurs Windows. La première étape de toute défense est une stratégie active de correction des vulnérabilités connues et exploitables. Cela aurait permis de fermer la porte aux vulnérabilités de Windows révélées par le dumping de Shadow Brokers.
Dans le cas où la vulnérabilité est inconnue ou qu'il n'y a pas eu suffisamment de temps pour appliquer les correctifs, les organisations ont besoin d'une méthode de détection et de réponse rapides. Il s'agit notamment de surveiller le trafic interne pour détecter les comportements des attaquants tels que la reconnaissance, le déplacement latéral et le cryptage de fichiers, plutôt que d'essayer de détecter des variantes spécifiques de ransomware dans les flux du réseau ou les exécutables.
Pour prévenir les attaques futures, nous devons passer à un modèle de détection du comportement plutôt qu'à un modèle de détection de l'outil spécifique ou de malware. La détection du comportement est beaucoup plus efficace, mais nécessite une analyse approfondie du trafic réseau. Toutefois, grâce aux progrès de l'IA qui vient renforcer les équipes de sécurité, nous assistons à une évolution du secteur vers l'identification du comportement des attaquants en temps réel.
Pour plus d'informations sur la lutte contre les ransomwares, consultez ce rapport.