Vectra Threat Labs a analysé le ransomware WannaCry pour en comprendre les rouages. Ils ont appris que si la manière dont il infecte les ordinateurs est nouvelle, les comportements qu'il adopte sont habituels.
WannaCry et ses variantes se comportent de la même manière que d'autres formes de ransomware que Vectra a détectées et permis à ses clients d'arrêter avant de subir des dommages étendus. C'est un avantage direct de se concentrer sur la détection des comportements des ransomwares plutôt que sur des exploits ou des logiciels malveillants spécifiques. Un grand nombre des comportements de WannaCry sont la reconnaissance et le mouvement latéral sur le réseau interne, à l'intérieur du périmètre de l'entreprise.
Les informations ci-dessous décrivent les détections Vectra liées à WannaCry et ses variantes opérant dans un réseau et comment elles permettent aux entreprises de réagir rapidement.
Vectra détectera-t-il Wannacry et ses variantes ?
Oui. Vectra détectera le ransomware WannaCry actif dans votre réseau ainsi que ses variantes. Il est important de se rappeler qu'avant que le ransomware puisse chiffrer les fichiers, il doit localiser les partages de fichiers sur le réseau, ce qui nécessite une reconnaissance interne. Pour ce faire, il doit effectuer une reconnaissance interne. Vectra est capable de détecter les comportements de reconnaissance et de trier tous les comportements associés aux hôtes infectés. Les hôtes infectés par un ransomware représentent un risque critique et ces comportements reçoivent les scores de menace et de certitude les plus élevés afin de donner la priorité à ces hôtes pour une réponse immédiate à l'incident.
Le plus beau, c'est que les clients de Vectra disposaient de cette détection avant que WannaCry ne frappe.
Les équipes de recherche en sécurité et d'intelligence artificielle de Vectra ont déterminé que les hôtes infectés sont susceptibles de présenter les comportements suivants :
- Communication de commandement et de contrôle sur le réseau TOR.
- Balayage du réseau interne et de l'Internet sur le port 445 pour les ordinateurs présentant la vulnérabilité MS17-010.
- Réplication automatisée de logiciels malveillants une fois qu'une machine présentant la vulnérabilité MS17-010 a été trouvée.
- Chiffrement des fichiers sur les partages de fichiers locaux et sur les réseaux mappés.
Comment améliorer la réponse à WannaCry et à ses variantes ?
Nous recommandons de configurer des alertes par courriel spécifiques aux détections de comportements d'attaquants liés à WannaCry et à ses variantes pour aider à prioriser l'enquête.
Vectra a constaté que le fait d'accorder une priorité élevée à l'activité sur le port 445 fournit des indicateurs précoces d'une attaque :
- Balayage des ports sortants
- Balayage du port
- Analyse interne du Darknet
- Réplication automatisée
- Activité des fichiers de ransomware
- Énumération des partages de fichiers
Il est également recommandé d'alerter sur toutes les détections d'activité TOR. Le routeur en oignon (TOR) n'est pas un outil couramment utilisé dans les entreprises et il est souvent le signe d'une personne qui tente de dissimuler sa position et son activité. L'activité TOR est souvent une raison d'enquêter sur un éventuel comportement néfaste.
En évaluant le niveau de menace et de certitude de toutes les détections de comportements d'attaquants, vous êtes en mesure de prioriser rapidement les hôtes pour la réponse aux incidents en sélectionnant les seuils pour les alertes par courrier électronique.
Que dois-je faire pour répondre à une attaque détectée ?
Vectra met toutes les informations à la disposition de l'analyste de sécurité pour qu'il puisse prendre une décision éclairée. Si Vectra détecte un ou plusieurs de ces comportements d'attaquants sur un hôte, vous pouvez choisir d'automatiser l'une des actions suivantes, en fonction du niveau de menace et de votre politique interne.
- Mettez l'hôte en quarantaine ou retirez-le du réseau. WannaCry a montré des tendances à la propagation virale ou à la manière d'un ver. Isoler un hôte du réseau est le moyen le plus rapide de stopper sa propagation.
- Mettre en quarantaine tous les hôtes répertoriés comme adresses IP de destination dans une détection de réplication automatisée s'ils ont été contactés par un hôte suspecté d'être infecté par WannaCry.
- Réimagez les hôtes infectés et restaurez les fichiers à partir d'une sauvegarde hors ligne afin d'éviter toute réinfection.
- En cas de détection d'une activité de fichier par un ransomware, restaurez les fichiers chiffrés sur les partages de fichiers à partir d'une sauvegarde hors ligne.
Quelle est la prochaine étape ?
Ce n'est qu'une des nombreuses attaques à venir. Elles porteront des noms différents et utiliseront des exploits différents. Ce qui ne change pas, c'est la nature des attaques et leur comportement. Bien que nous ne sachions pas exactement quelle sera la prochaine grande attaque, nous savons que vous devez vous y préparer. Et vous avez besoin d'aide. Les progrès de l'IA permettent à la technologie de renforcer les équipes de sécurité, et le secteur doit évoluer vers l'identification du comportement des attaquants en temps réel.