L’ attaque du ransomware WannaCry a fêté son quatrième anniversaire après avoir fait des ravages dans le monde en renouvelant la tendance. Les chercheurs de Check Point Software ont noté une augmentation de 53 % du nombre d’organisations affectées par le ransomware.
Ce qui donne?
Bien qu’il ne se propage plus au même volume qu’au moment de sa découverte, le malware n’a pas été éradiqué. En fait, les chercheurs de PurpleSec classent WannaCry comme le deuxième type de ransomware le plus courant. Combinez cela avec le fait que, selon les recherches de Group-IB , les attaques de ransomwares ont augmenté de plus de 150% en 2020, il n’est pas étonnant que nous continuions de voir WannaCry rôder.
Qu’est-ce que l’attaque du ransomware WannaCry ?
L’attaque du ransomware WannaCry était une cyberattaque mondiale qui a commencé en mai 2017. Elle s’est propagée via des ordinateurs fonctionnant sous Microsoft Windows. On estime qu’il a touché plus de 200 000 ordinateurs dans 150 pays.
WannaCry : un bref historique
La vulnérabilité exploitée par les attaquants se trouve dans le composant SMB de Windows. Server Message Block (SMB) est un protocole réseau qui fournit des services de partage de fichiers et d’imprimantes dans les systèmes Windows. SMB peut être utilisé à l’intérieur du réseau d’entreprise pour partager des fichiers et des imprimantes ; cependant, il ne doit jamais être autorisé au-delà du réseau d’entreprise.
Ceci est si fortement recommandé, en fait, qu’un avis publié en janvier 2017 par l’équipe de préparation aux urgences informatiques des États-Unis (US-CERT) recommande de bloquer « toutes les versions de Server Message Block (SMB) à la frontière du réseau en bloquant le port TCP 445 avec les protocoles associés sur les ports UDP 137-138 et TCP 139, pour tous les périphériques périphériques. SMB peut être utilisé à l’intérieur du réseau d’entreprise pour partager des fichiers et des imprimantes ; cependant, il ne doit jamais être autorisé au-delà du réseau d’entreprise. Le blocage de SMB empêche l’attaque WannaCry et doit être mis en œuvre sur les pare-feu professionnels et domestiques.
Protégez-vous contre l’attaque du ransomware Wannacry avec Tufin
Bon nombre de ces attaques de logiciels malveillants incluent une porte dérobée contactant un serveur de commande et de contrôle (C2). Les organisations doivent surveiller et restreindre le trafic sortant (sortie). Comme il est pratiquement impossible de le faire dans le périmètre traditionnel, les organisations doivent le faire (surveiller et restreindre le trafic de sortie) plus près du serveur/de l’application/de la charge de travail où le trafic sortant légitime est bien connu et limité. Voici quelques conseils de CISA :
- Surveillez le trafic réseau pour détecter les protocoles inattendus et non approuvés, en particulier sortants vers Internet (par exemple, SSH, SMB, RDP).
- Activez un pare-feu personnel sur les postes de travail des agences, configuré pour refuser les demandes de connexion non sollicitées.
- Désactivez les services inutiles sur les postes de travail et les serveurs de l’agence.
De plus, nous avons créé une courte démo expliquant comment se protéger contre les vulnérabilités de WannaCry :
Enfin, de plus en plus d’attaques utilisent désormais DNS comme protocole pour contacter les serveurs C2. Pour atténuer cela, les requêtes DNS doivent être surveillées et limitées aux domaines bien connus nécessaires à chacun des serveurs/applications/charges de travail.
Pour plus de détails, consultez notre article de blog sur les débuts du ransomware WannaCry .
Source : Tufin
Pour en savoir plus concernant la solution Tufin :
