Le ransomware WannaCry a touché des dizaines de milliers de PC

WannaCry, l’attaque informatique massive internationale affectant une centaine de pays et des dizaines d’entreprises et d’organisations est d’«un niveau sans précédent» selon Europol.

WannaCry a frappé. Vendredi 12 mai, les ordinateurs de sociétés et de services publics à travers 99 pays étaient hackés. Selon la société de cybersécurité Avast, plus de 75.000 attaques ont été enregistrées durant la journée de vendredi -la Russie, l’Ukraine et Taiwan étant les plus touchés.

L’attaque -planétaire- a été lancée grâce à une exécution de code à distance SMBv2 dans Microsoft Windows. Cet exploit (codé « EternalBlue ») a été mis à disposition sur Internet à travers le Vaisseau des Ombres et des Ombres le 14 avril 2017 et stoppé par Microsoft le 14 mars, analyse Kaspersky Lab. Malheureusement, il semble que de nombreuses organisations n’aient pas installé le correctif. Les échantillons analysés ne font référence à une culture spécifique ou à une autre langue que l’anglais universel et la page de codes latine CP1252. Les fichiers contiennent des informations de version volées à partir des outils système aléatoires Microsoft Windows 7.

« Nous n’avons pas connaissance d’entreprises touchées en Belgique« , a indiqué le service presse de la police fédérale à l’agence Belga. En France, le constructeur automobile Renault a été touché, ses sites de production ont été mis à l’arrêt samedi. Au Royaume-Uni, plusieurs dizaines d’hôpitaux ont été touchés. En Allemagne, c’est la Deutsche Bahn, la compagnie ferroviaire publique, qui a été ciblée. Alors que des panneaux d’affichages en gare ont été hackés, la Deutsche Bahn a toutefois certifié que l’attaque n’avait aucun impact sur le trafic. Toujours en Europe, on cite encore Telefonica, le géant des télécoms espagnol. Aux Etats-Unis, le géant US de la livraison FedEx a reconnu avoir, lui aussi, été touché.

Mise à jour en urgence de Windows

Fait inhabituel, Microsoft a, dans la nuit de vendredi à samedi, publié un patch spécifique. Et rappelé avoir publié en mars dernier une mise à jour de sécurité qui traite de la vulnérabilité que les attaques exploitent actuellement. Ceux qui ont Windows Update activé sont protégés contre les attaques de cette vulnérabilité. Pour les organisations qui n’ont pas encore appliqué la mise à jour de sécurité, Microsoft suggère de déployer immédiatement le bulletin de sécurité MS 17010.

Pour les clients utilisant Windows Defender, Microsoft a publié une mise à jour plus tôt, vendredi, qui détecte cette menace en tant que Ransom: Win32 / WannaCrypt. Ce type d’attaque peut évoluer avec le temps, de sorte que toute stratégie supplémentaire de défense en profondeur fournira des protections supplémentaires. (Par exemple, pour protéger davantage les attaques SMBv1, les clients devraient envisager de bloquer les protocoles existants sur leurs réseaux).

Certaines des attaques observées utilisent des tactiques de phishing communes, y compris des pièces jointes malveillantes. Les clients devraient utiliser la vigilance lors de l’ouverture de documents provenant de sources non fiables ou inconnues. Pour les clients Office 365, nous surveillons et mettons à jour continuellement pour vous protéger contre ces types de menaces, y compris Ransom: Win32 / WannaCrypt. Plus d’informations sur le malware lui-même sont disponibles à partir du Microsoft Malware Protection Center sur le  blog Windows Security. Pour ceux qui sont nouveaux dans Microsoft Malware Protection Center, il s’agit d’une discussion technique visant à fournir au professionnel de la sécurité informatique des informations pour aider à protéger davantage les systèmes.