Attaques de ransomwares ExPetr : Utilisation d’EternalBlue et EternalRomance

par | Fév 16, 2021 | Ransomware, Sécurité des emails

attaques-ransomwares-expetr-utilisation-eternalblue-eternalromance

Le mardi 27 juin 2017, une importante cyberattaque utilisant des ransomwares a eu lieu.

Elle ciblait des organisations à travers le monde.

Les analystes de TitanHQ ont enquêté sur cette nouvelle vague d’attaques de ransomwares.

Les premiers résultats de notre fournisseur antivirus Kaspersky suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, telle que rapportée publiquement, mais d’un nouveau ransomware qui n’a jamais été vu auparavant.

Bien qu’il présente des chaînes de caractères similaires à celles de Petya, il possède des fonctionnalités complètement différentes. Kaspersky l’a nommé « ExPetr ».

Il s’agit d’une attaque complexe impliquant plusieurs vecteurs de malwares.

Nous pouvons confirmer que les kits d’exploitation modifiés d’EternalBlue et d’EternalRomance — lesquels ont été utilisés lors de l’attaque ransomwares avec WannaCry en mai — ont été utilisés par les criminels pour propager des virus dans le réseau des entreprises.

Kaspersky a nommé les variantes de cette menace de différentes manières, à savoir :

  • Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • Trojan-Ransom.Win32.ExPetr.gen
  • Win32.Generic
  • Win32.Generic.

Protection SpamTitan contre le ransomware ExPetr

Les clients utilisant SpamTitan sont protégés contre toutes les variantes récentes du ransomware ExPetr.

Notre service antivirus peut bloquer cette menace et nous travaillons en étroite collaboration avec des fournisseurs spécialisés pour assurer une protection optimale de vos réseaux d’entreprise.

TitanHQ a détecté l’infection initiale à l’aide de la fonction de protection Kaspersky.

Que devriez-vous faire ?

  • Nous conseillons à toutes les organisations de mettre à jour leurs logiciels Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le correctif de sécurité MS17-010.
  • Nous conseillons également à toutes les organisations de s’assurer qu’elles disposent de systèmes de sauvegarde des données, notamment la méthode de sauvegarde 3-2-1. Un système de sauvegarde approprié et opportun peut être utilisé pour restaurer les fichiers originaux après une perte de données.
  • S’assurer que tous les mécanismes de protection antivirus sont activés.
  • Évitez d’ouvrir des pièces jointes à des emails auxquels vous ne vous attendez pas ou provenant de destinataires que vous ne connaissez pas.

Couches de sécurité

De nos jours, les entreprises ont besoin de plusieurs niveaux de sécurité pour stopper les emails qui passent à travers votre pare-feu, par le biais d’un antispam et d’une solution antivirus pour votre serveur de messagerie.

Si l’email parvient à contourner votre système de défense, il sera alors arrêté par l’antivirus.

Au cas où un malware s’installerait sur votre poste de travail, il va également être détecté dès qu’il commence à fonctionner de façon suspecte.

Les solutions de sécurité multicouches comme SpamTitan et WebTitan peuvent bloquer les sites Web dangereux, y compris les liens malveillants trouvés dans les sites web, les réseaux sociaux et les emails.

Vous pouvez donc vous protéger contre les virus, les attaques de phishing et de ransomwares, et bien d’autres menaces en ligne.

Corriger – Répondre – Atténuer

En cas d’attaque par des ransomwares, les sauvegardes sont essentielles, tout comme la mise à jour régulière de vos systèmes.

Le problème est que les entreprises ne peuvent pas toujours appliquer les correctifs le jour où elles sont disponibles, car les entreprises doivent encore tester les modifications et s’assurer que les mises à jour n’auront aucun impact sur leur fonctionnement.

Il est également crucial pour les équipes informatiques d’intégrer la redondance dans l’infrastructure, de sorte que lorsqu’un système sera mis hors service pendant la période de test, un autre système pourra fonctionner correctement.

Les équipes informatiques doivent disposer d’un plan pour hiérarchiser les mises à jour de sécurité ou mettre en place des mesures de protection pour celles qui ne peuvent pas être corrigées.

La seule certitude concernant les ransomwares, c’est qu’ils évoluent tout le temps. Rien qu’en janvier, 37 nouvelles variantes se sont apparues, dont :

  • F Society
  • CyberHub
  • Spora
  • Marlboro
  • Dark OverLord
  • Pour n’en citer que quelques-unes.

Avec autant de souches différentes qui circulent sur le web, les précautions restent les mêmes :

  • Les entreprises doivent maintenir des sauvegardes
  • Utiliser une sécurité efficace de la messagerie électronique et du web
  • Traiter le spam comme un vecteur sérieux de malwares plutôt que comme une simple nuisance.

Les statistiques concernant les attaques de ransomwares montrent clairement comment les entreprises ignorent ou n’accordent pas la priorité aux correctifs.

Avez-vous appliqué tous vos correctifs après les attaques de WannaCry ?

Avez-vous été victime d’une attaque par le ransomware ExPetr ?

Si vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés, parlez-en à nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.