L’attaque du Ransomware WannaCry a fêté son quatrième anniversaire après avoir fait des ravages dans le monde. Les chercheurs de Check-Points ont noté une augmentation de 53 % du nombre d’organisations affectées par le Ransomware.
Bien qu’il ne se propage plus au même volume qu’au moment de sa découverte, le malware n’a pas été éradiqué. En fait, les chercheurs de PurpleSec classent WannaCry comme le deuxième type de Ransomware le plus courant. Combinez cela avec le fait que, selon les recherches de Group-IB, les attaques de Ransomware ont augmenté de plus de 150 % en 2020, il n’est pas étonnant que nous continuions de voir WannaCry continuer d’opérer.
Qu’est-ce que l’attaque du Ransomware WannaCry ?
L’attaque du Ransomware WannaCry était une cyberattaque mondiale qui a commencé en mai 2017. Elle s’est propagée via des ordinateurs fonctionnant sous Microsoft Windows. On estime qu’il a touché plus de 200 000 ordinateurs dans 150 pays.
La vulnérabilité exploitée par les attaquants se trouvait dans le composant SMB de Windows. Server Message Block (SMB) est un protocole réseau qui fournit des services de partage de fichiers et d’imprimantes dans les systèmes Windows. SMB peut être utilisé à l’intérieur du réseau d’entreprise pour partager des fichiers et des imprimantes ; cependant, il ne doit jamais être autorisé au-delà du réseau d’entreprise.
Un avis publié en janvier 2017 par US-CERT recommande de bloquer « toutes les versions de Server Message Block (SMB) à la frontière du réseau en bloquant le port TCP 445 avec les protocoles associés sur les ports UDP 137-138 et TCP 139, pour tous les périphériques. SMB peut être utilisé à l’intérieur du réseau d’entreprise pour partager des fichiers et des imprimantes ; cependant, il ne doit jamais être autorisé au-delà du réseau d’entreprise. Le blocage de SMB empêche l’attaque WannaCry et doit être mis en œuvre sur les pare-feu professionnels et domestiques. »
Se protéger efficacement contre l’attaque du Ransomware Wannacry
Bon nombre de ces attaques de logiciels malveillants incluent une porte dérobée contactant un serveur de commande et de contrôle (C2). Les organisations doivent surveiller et restreindre le trafic sortant (sortie). Comme il est pratiquement impossible de le faire dans le périmètre traditionnel, les organisations doivent le faire au plus près du serveur/de l’application/de la charge de travail où le trafic sortant légitime est identifié et limité. Voici quelques conseils à adopter :
- Surveiller le trafic réseau pour les protocoles inattendus et non approuvés, en particulier sortants vers Internet (par exemple, SSH, SMB, RDP).
- Activer un pare-feu personnel sur les postes de travail, configuré pour refuser les demandes de connexion non sollicitées.
- Désactiver les services inutiles sur les postes de travail et les serveurs.
Enfin, de plus en plus d’attaques utilisent désormais DNS comme protocole pour contacter les serveurs C2. Pour atténuer ces éléments, les requêtes DNS doivent être surveillées et limitées aux domaines nécessaires à chacun des serveurs et applications.
Par Stéphane HAURAY chez TUFIN