3 Juil 2017

ExPetr vise de grandes entreprises

Business

Nous sommes les témoins d’une épidémie d’une nouvelle lignée de cryptomalware. Nos experts l’ont appelé ExPetr (d’autres le nomment Petya, PetrWrap et plus encore). La différence clé avec ce nouveau ransomware est qu’à cette époque, les cybercriminels avaient choisi leurs cibles avec une précision accrue. La plupart des victimes sont des entreprises, et non pas des particuliers.

Le pire c’est que des installations d’infrastructures beaucoup plus critiques font partie des victimes de ce malware. Quelques vols auraient été retardés à l’aéroport de Kiev Boryspil à cause de l’attaque. Pire encore, le système de surveillance des radiations de la centrale nucléaire Tchernobyl aurait été temporairement mis sous contrôle pour les mêmes raisons.

Pourquoi les systèmes d’infrastructures critiques continuent-ils à être frappés par le cryptomalware ? Soit parce qu’ils sont directement liés à des réseaux d’entreprise soit parce qu’ils ont un accès direct à Internet.

Que faire

Tout comme avec WannaCry, nous faisons face à deux problèmes distincts : l’intrusion initiale du malware dans l’infrastructure de l’entreprise et sa prolifération. Ces deux problèmes devraient être traités séparément.

Intrusion initiale

Nos experts indiquent différentes voies par lesquelles le malware pénètre le réseau. Dans certains cas, il utilisait des sites malveillants (conduits par une infection) ; les utilisateurs recevaient le malware comme étant une mise à jour du système. Dans d’autres cas, l’infection a été répandue par des mises à jour de logiciel tiers, par exemple, par le biais du logiciel de comptabilité ukrainien appelé M.E.Doc. En d’autres termes, il n’existe pas qu’un seul point d’entrée et prévisible à protéger.

Nous avons quelques recommandations à vous donner afin de prévenir votre infrastructure d’une attaque de malware :

  • Apprenez à vos employés à ne jamais ouvrir de fichiers suspicieux ou à cliquer sur des liens dans des e-mails (ça semble évident, mais les gens continuent à le faire).
  • Assurez-vous que tous les systèmes connectés à Internet soit équipés de solutions de sécurité mises à jour comprenant des composants d’analyse comportementale ;
  • Vérifiez que les composants essentiels des solutions de sécurité soient activés (pour les produits de Kaspersky Lab, assurez-vous que le réseau de renseignement sur les menaces du Cloud Kaspersky Security Network et du moteur comportemental de la Surveillance du Système soient actifs) ;
  • Mettez à jour régulièrement les solutions de sécurité ;
  • Utilisez des outils pour contrôler et surveiller des solutions de sécurité à partir d’une seule console d’administration, et ne laissez pas les employés jouer avec leurs paramètres.

Comme mesure de protection supplémentaire (plus particulièrement si vous n’utilisez pas les produits de Kaspersky Lab), vous pouvez installer notre outil Kaspersky Anti-Ransomware, qui est compatible avec la plupart des autres solutions de sécurité.

Prolifération au sein du réseau

Une fois qu’il prend ses aises sur un unique système, ExPetr est beaucoup plus performant que WannaCry pour s’infiltrer sur un réseau local. C’est parce qu’il dispose d’une gamme étendue de capacités à cette fin spécifique. Premièrement, il utilise au moins deux exploits : un EternalBlue modifié (aussi utilisé par WannaCry) et EternalRomance (un autre exploit de TCP port 445). Deuxièmement, lorsqu’il infecte un système sur lequel un utilisateur a des privilèges d’administrateur, il commence à se répandre en utilisant la technologie de Windows Management Instrumentation ou avec l’outil de contrôle à distance du système PsExec.

Afin de prévenir la prolifération des malwares au sein du réseau (et plus particulièrement dans les systèmes d’infrastructure critiques), vous devriez :

  • Isoler les systèmes qui requièrent une connexion Internet active sur un segment de réseau séparé ;
  • Diviser le réseau restant en sous-réseaux ou sous-réseaux virtuels avec des connexions restreintes, en connectant uniquement les systèmes qui le nécessitent pour les processus technologiques ;
  • Apprendre à connaître les conseils des experts de Kaspersky Lab ICS CERT décrits après l’épidémie de WannaCry (encouragé pour les entreprises industrielles en particulier);
  • Vous assurer que les mises à jour de sécurité critiques de Windows sont installées à temps. C’est particulièrement important et pertinent ici, MS17-010 s’attaque aux vulnérabilités exploitées par EternalBlue et EternalRomance ;
  • Isoler les serveurs de sauvegarde du reste du réseau et décourager l’utilisation de la connexion de lecteurs distants sur les serveurs de sauvegarde ;
  • Interdire l’exécution d’un fichier appelé perfc.dat en utilisant la fonctionnalité du Contrôle des Applications de la suite de Kaspersky Endpoint Security for Business ou avec l’utilitaire du système Windows AppLocker ;
  • Pour les infrastructures contenant de multiples systèmes intégrés, utiliser des solutions de sécurité spécialisées telles que Kaspersky Embedded Systems Security ;
  • Configurer le mode refus par défaut comme une mesure de protection supplémentaire sur les systèmes où c’est possible, par exemple, sur les ordinateurs dotés d’un logiciel qui est rarement modifié. Cela peut être fait au sein du composant du Contrôle des Applications de la suite de Kaspersky Endpoint Security for Business.

Comme toujours, nous recommandons vivement d’utiliser une approche de sécurité informatique à plusieurs niveaux, en incorporant des mises à jour de logiciel automatiques (y compris pour le système d’exploitation), un composant anti ransomware, et un composant qui surveille tous les processus au sein du système d’exploitation.

Payer ou ne pas payer

Pour finir, même si en général on ne recommande pas de payer la rançon, nous comprenons que certaines entreprises aient le sentiment de ne pas avoir le choix. Cependant, si vos données ont été encore affectées par le ransomware ExPetr, vous ne devriez pas payer dans tous les cas.

Nos experts ont découvert que ce malware n’a pas de mécanisme pour sauvegarder l’identifiant d’installation. Sans cet identifiant, l’acteur de la menace ne peut pas extraire les informations nécessaires au déchiffrement. En résumé, ils ne peuvent tout simplement pas aider les victimes à la récupération des données.