Attaque WannaCry via SMB et Jaff par email

par Stephane
WannaCry Jaff

WannaCry, Jaff et les attaques de ransomwares

Selon toute vraisemblance, le virus qui fait tant parler de lui depuis quelques jours ne s’est pas propagé par les emails. Vincent Nguyen, le directeur du CERT de Wavestone, précise que « Tout le monde cherche ce fameux e-mail initial et, en quatre jours, aucune équipe n’est parvenue à mettre la main dessus ». Nous confirmons de notre côté, qu’aucun de nos clients n’a pour l’heure était victime de ce virus et que nos 6 antivirus ne l’ont pas détecté pendant sa période de diffusion.

Il est fort probable que les pirates aient identifié des postes « patients zéro » susceptibles de servir de base à une propagation par l’intermédiaire d’une autoréplication. Ce virus utilise une faille dans le protocole SMB (Server Message Block) de Windows, présente sur les anciens systèmes d’exploitation Microsoft, pourtant corrigée par un patch MS17-010 pour combler cette vulnérabilité. Cela rappelle donc l’importance des mises à jour. Cette attaque, qui a touché plus de 230000 ordinateurs dans plus de 150 pays selon Europol, serait à mettre sur le compte de hackers Nord-Coréens soupçonnés d’appartenir au collectif Lazarus Group.

Cependant, parallèlement, il y a toujours des attaques via la messagerie. Actuellement, Jaff, une variante récente de Locky continue de sévir, créant peut-être une confusion. Ce virus est propagé par l’intermédiaire d’emails contenant des pièces jointes au format PDF. Ce document PDF contient une macro malveillante, par l’intermédiaire d’un script embarqué au format DOCM, lançant le téléchargement et l’exécution du ransomware. L’alerte CERTFR-2017-ALE-011 détaille le mécanisme. Grâce aux 6 antivirus intégrés et au système d’analyse sandboxing statique des PDF (notamment), Altospam bloque parfaitement ces malwares.

Pour se protéger, 4 règles simples sont essentielles : mise à jour, sauvegarde, protection et sensibilisation. L’attaque WannaCry est la preuve que les systèmes d’exploitation (et les logiciels) doivent être mis à jour. Il est primordial de mettre en place des procédures de mises à jour strictes dans les entreprises. De plus, les sauvegardes sont essentielles, à la fois pour corriger l’erreur humaine, mais également pour être en mesure de rétablir un système en cas d’attaque. La protection est liée évidemment aux firewalls, proxy, sécurité du poste utilisateur, mais surtout à la mise en place d’un système de protection de la messagerie performant tel qu’Altospam. Aujourd’hui les attaques par emails restent le principal vecteur de virus car ils permettent d’être très rapide. Dernier point fondamental, la sensibilisation des utilisateurs. Cette attaque très médiatisée aura eu le mérite de jouer ce rôle.

 

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …