En mai 2017, l'attaque du ransomware WannaCry a fait la une des journaux du monde entier, exploitant une vulnérabilité de Microsoft Windows pour infecter rapidement plus de 200 000 ordinateurs à travers 150 pays. Cette attaque de ransomware à grande échelle a été attribuée au Lazarus Group, un groupe de cybercriminels qui aurait des liens avec la Corée du Nord. L'exploit EternalBlue, divulgué par la NSA, a été un élément clé de l'attaque, permettant à WannaCry de se propager rapidement à travers les réseaux. Malgré sa propagation rapide, les comportements de WannaCry une fois à l'intérieur d'un réseau sont bien connus des professionnels de la sécurité.
Vectra Threat Labs a analysé le fonctionnement interne de WannaCry pour comprendre la menace. Ils ont constaté que si la méthode d'infection initiale est nouvelle, les comportements de WannaCry sont typiques des ransomwares que Vectra a déjà rencontrés. Cela souligne l'intérêt de se concentrer sur la détection des comportements des ransomwares, plutôt que de s'appuyer uniquement sur l'identification d'exploits spécifiques ou sur les signatures malware . Les clients de Vectra détectaient et arrêtaient déjà des menaces similaires bien avant que WannaCry ne provoque des perturbations à l'échelle mondiale.
Comment fonctionne WannaCry ?
Une fois qu'il a infecté une machine, WannaCry suit un schéma familier de reconnaissance et de déplacement latéral à travers les réseaux internes. Le ransomware recherche les systèmes vulnérables, se propage à l'aide de la vulnérabilité MS17-010 et finit par chiffrer les fichiers, exigeant un paiement en bitcoins pour restaurer l'accès. Bien que ce type d'attaque puisse être dévastateur, la Vectra AI Plateforme est conçue pour détecter ces comportements, ce qui permet aux équipes de sécurité de réagir rapidement et de limiter les dégâts.
Vectra détectera-t-il WannaCry et ses variantes ?
Oui. Vectra est capable de détecter les infections WannaCry actives et toutes les variantes futures qui pourraient émerger. Il est important de se rappeler qu'avant qu'un ransomware comme WannaCry ne puisse chiffrer des fichiers, il doit d'abord reconnaître le réseau pour localiser les partages de fichiers. Ce processus nécessite une reconnaissance interne, que Vectra peut détecter, ainsi que d'autres comportements associés aux hôtes infectés.
L'approche de Vectra attribue les scores de menace et de certitude les plus élevés aux comportements des ransomwares, garantissant que ces risques critiques sont prioritaires pour une réponse immédiate à l'incident. L'avantage pour les clients de Vectra est que ces détections étaient en place avant que WannaCry ne frappe, permettant une détection précoce des activités suspectes.
Détection par Vectra des comportements liés à WannaCry
Les détections de Vectra basées sur l'IA reposent sur une compréhension approfondie des comportements des attaquants. Voici quelques comportements clés observés dans les infections WannaCry :
- Command and Control: Communication sur le réseau TOR, souvent utilisée par les attaquants pour dissimuler leurs activités.
- Analyse du réseau: Analyse du réseau interne et de l'internet sur le port 445 à la recherche de systèmes vulnérables à l'exploit MS17-010.
- Réplication automatisée de Malware : Une fois qu'une machine vulnérable est identifiée, WannaCry se réplique automatiquement pour se propager.
- Cryptage de fichiers: Chiffrement des fichiers sur les lecteurs locaux et les partages réseau mappés.
Comment puis-je améliorer ma réponse à WannaCry et à ses variantes ?
L'amélioration de votre réponse à WannaCry commence par la hiérarchisation des alertes en fonction du comportement de l'attaquant. Vectra recommande de configurer des alertes e-mail spécifiques aux comportements des attaquants suivants :
- Balayage des ports sortants: Analyse des ports sortants pour trouver les systèmes vulnérables.
- Analyse du Darknet interne: Détection des efforts visant à trouver des ressources internes cachées ou mal sécurisées.
- Réplication automatisée: Identifier les tentatives de WannaCry de se répliquer sur le réseau.
- Activité du fichier Ransomware: Alerte en cas de fichiers cryptés, signalant un ransomware actif.
- Énumération des partages de fichiers: Surveillance des tentatives de localisation des partages de fichiers sur le réseau.
En outre, il est recommandé de lancer des alertes sur toutes les activités liées à TOR. Bien que TOR soit un outil légitime pour l'anonymat, il est rarement utilisé dans les environnements d'entreprise et signale souvent un comportement suspect.
En surveillant et en priorisant les comportements associés à WannaCry et à ses variantes, Vectra permet aux équipes de sécurité de répondre rapidement aux infections, réduisant ainsi les risques de dommages généralisés.
Quelles mesures dois-je prendre si une attaque est détectée ?
Vectra met le pouvoir entre les mains des analystes de sécurité, en fournissant des informations exploitables qui aident à prendre des décisions rapides et éclairées. Si Vectra détecte des comportements associés à WannaCry ou à des menaces similaires, les équipes de sécurité peuvent choisir d'automatiser les réponses suivantes en fonction des politiques internes :
- Mettez l'hôte en quarantaine: WannaCry se propage comme une traînée de poudre ( worm), c'est pourquoi l'isolement des hôtes infectés du réseau peut empêcher l'aggravation des dommages.
- Quarantaine des hôtes de destination: Si Vectra détecte une réplication automatisée, il met en quarantaine les adresses IP de destination avec lesquelles l'hôte infecté a tenté de communiquer.
- Reimage et restauration: Pour les hôtes infectés, réimagez le système et restaurez les fichiers à partir d'une sauvegarde hors ligne afin d'éviter une réinfection.
- Restauration de fichiers: En cas de cryptage par ransomware, restaurez les fichiers cryptés à partir de sauvegardes hors ligne afin de minimiser les temps d'arrêt et d'éviter la perte de données.
Contexte historique : Le rôle du Lazarus Group dans WannaCry
Il est important de noter que WannaCry n'était pas une attaque de ransomware comme les autres. Le site malware est lié au Lazarus Groupun groupe de pirates informatiques parrainé par un État et connu pour ses attaques sophistiquées. Ce groupe, qui serait lié à la Corée du Nord, a été impliqué dans de nombreuses cyberattaques, notamment contre des institutions financières, des entreprises de médias et des infrastructures critiques. La propagation rapide de WannaCry et ses implications politiques nous rappellent que les cybermenaces sont de plus en plus complexes.
Se préparer à la prochaine vague de ransomwares et de menaces persistantes avancées (APT)
Alors que les ransomwares continuent d'évoluer, les organisations doivent être prêtes à faire face à de nouvelles tactiques et à de nouveaux exploits, mais les comportements - reconnaissance, mouvement latéral, réplication et chiffrement - restentles mêmes. En se concentrant sur la détection des comportements en temps réel, les équipes de sécurité peuvent se défendre de manière proactive contre les menaces émergentes, même si les attaquants changent leurs méthodes et leurs outils.
Vectra AI s'engage à aider les organisations à garder une longueur d'avance sur les menaces sophistiquées telles que WannaCry et celles menées par les groupes de menaces persistantes avancées (APT). Pour approfondir votre compréhension de ces menaces en constante évolution, explorez nos pages détaillées sur les groupes de ransomware et les acteurs APT, notamment :
Chaque page offre un aperçu des tactiques, techniques et procédures (TTP) de ces cybercriminels, vous aidant à construire une défense plus résistante.
Quelle est la suite pour vous ?
Avec Vectra AI, vous avez la possibilité de détecter et d'arrêter les attaques sophistiquées avant qu'elles ne prennent de l'ampleur. Contactez votre représentant Vectra ou planifiez une démonstration pour découvrir comment notre plateforme peut renforcer votre défense contre les ransomwares et les APT.