Actualités

Akerva

Faites l’expérience de la sécurité active & réactive

Veille Sécurité

Petya, NotPetya… Le vrai faux retour.

Veille Sécurité | 28/06/2017 Comme pouvait s'en douter la communauté sécurité, des variantes plus ou moins évoluées de malwares s'appuyant sur des vecteurs d'attaque évoqués par ShadowBrokers continuent de se développer. Nous revenons sur quelques points clés à prendre en compte en ce qui concerne l'attaque #NotPetya.   NotPetya, en...

Comme pouvait s’en douter la communauté sécurité, des variantes plus ou moins évoluées de malwares s’appuyant sur des vecteurs d’attaque évoqués par ShadowBrokers continuent de se développer. Nous revenons sur quelques points clés à prendre en compte en ce qui concerne l’attaque #NotPetya.

 

NotPetya, en résumé

Nous ne ferons pas ici de projection théorique sur le nombre de machines compromises, mais tâcherons plutôt de consolider quelques éléments clés à prendre en compte pour se protéger au mieux :

Concernant le fonctionnement général du malware :

  • Il ne s’agit pas d’un simple copier-coller du précédent ransomware Petya ou Wannacry.
  • En plus des fonctions de chiffrement classiques, des fonctions plus évoluées de propagation sur le Système d’Information ont été ajoutées.
  • Il peut notamment attaquer les machines Windows du réseau non patchées via les variantes d’exploits ETERNALBLUE et ETERNALROMANCE (cf. ShadowBrokers et MS17-010).
  • De même que collecter les informations d’authentification (via Mimikatz / API Windows ) pour envoyer des commandes privilégiées sur d’autres machines pourtant saines (via PSExec et WMIc notamment).
  • Sur le principe, une seule machine vulnérable peut servir à rebondir sur le reste du SI.

Concernant le périmètre impacté :

  • Les machines Windows en général, car tout ne repose pas sur la faille MS17-010.
  • Le fait de ne pas respecter les bonnes pratiques de durcissement du SI vous expose.
  • L’utilisation de droits d’administration illégitimes y participe aussi.

Comment se protéger :

  • Une partie des failles utilisées étant patchées depuis des mois, vous devez évidemment appliquer les mises à jour Windows (donc MS17-010 et les plus récentes).
  • Certains réflexes de cloisonnement réseau s’appliquent aussi (cf. notre précédent article au sujet de WannaCry), de même que la désactivation de SMBv1.
  • Bloquer l’utilisation de PSExec et WMIc aide aussi.
  • Limiter les droits des utilisateurs et processus au strict minimum reste pertinent, afin de limiter les escalades de privilèges et risques d’exécution de ransomware en général.
  • Une politique de mots de passe robuste, un antivirus pertinent et à jour restent aussi indispensables.
  • Enfin, les bonnes pratiques anti-ransomware mentionnées par l’ANSSI s’appliquent aussi.

Quelques références :

 

Pour aller plus loin dans l’audit de votre Système d’Information et l’application des bonnes pratiques, notre équipe est à votre disposition !

 

CONTACTEZ-NOUS

Actualités & blog

Restez informé des dernières actualités

RESTEZ INFORMÉ DES ACTUALITÉS AKERVA

ABONNEZ-VOUS À NOTRE NEWSLETTER