Petya : l’analyse de nos experts

Contexte

Depuis mardi (27.06.2017), une nouvelle attaque informatique de grande envergure est en cours et s’avère particulièrement virulente. Elle a commencé par toucher principalement la Russie et l’Ukraine paralysant parfois des centrales électriques. Le vecteur d’installation initial semble provenir d’une faille dans un logiciel utilisé en Ukraine pour la comptabilité.

Une fois qu’une machine est infectée dans le réseau la propagation est ensuite possible via différents vecteurs :

  • vol d’identifiant ou réutilisation de session ouverte,
  • utilisation des partages de fichiers,
  • utilisant d’outil d’administration ou via la faille SMB v1.

Y a-t-il une solution ?

A l’heure actuelle il est difficile d’être certain qu’on ne peut pas être touché. Nous recommandons donc vivement de continuer à être très prudent en ouvrant ses emails surtout ceux contenant une pièce jointe ou un lien. Certaines rumeurs semblent indiquer que même un ordinateur ayant 100% des mises à jour a été touché.
Kaspersky grâce à son system watcher est capable de détecter le comportement suspect lié à cette attaque et à le bloquer.
Lorsque nous aurons plus d’informations l’article sera mis à jour.

Qu’est-ce que Kyos propose pour ses clients « Kyos Assist » et « Kyos Serenity » ?

Depuis un an Kyos a déployé la solution LAPS (local administrator password solution) de Microsoft permettant de générer des mots de passe différents par ordinateur afin d’éviter un potentiel mouvement latéral.

Une vérification de l’état des mises à jour du mois de juin est en cours afin de s’assurer que toutes les machines sont à jour. En effet, beaucoup d’entreprises ont découvert que Windows 7  pouvait souvent avoir des problèmes à installer des mises à jour sans toujours le remonter aux systèmes de gestion centralisé de mises à jour.

Nous en profitons pour rappeler qu’il est vivement conseillé de redémarrer vos ordinateurs au minimum une fois par semaine. Le plus simple reste cependant d’éteindre son poste tous les soirs.

Que faire maintenant ?

Bien entendu, il convient de rester vigilant et de suivre les meilleures pratiques de gestion des systèmes informatiques :

  • auditer régulièrement vos systèmes afin d’identifier les éventuelles vulnérabilités,
  • s’assurer que son antivirus est à jour et bénéficie d’une analyse comportementale,
  • utiliser un système de contrôle d’application comme Applocker ou Kaspersky Application Control,
  • ne pas être connecté en tant qu’administrateur sur un ordinateur,
  • filtrer efficacement les emails et la navigation Internet,
  • appliquer les correctifs efficacement,
  • sensibiliser les collaborateurs aux risques d’Internet.

Vous souhaitez plus de détails sur l’attaque ?

Vous pouvez suivre l’actualité sur les réseaux sociaux avec les hashtags : #Petya, #NotPetya.

Pour une information loin des titres de presse et des publicités produites par les différents éditeurs, nous vous encourageons à consulter régulièrement La centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI sur le site de la confédération et particulièrement les informations concernant les ransomwares (https://www.melani.admin.ch/melani/fr/home/themen/Ransomware.html)

Nous vous recommandons également l’article suivant de Kaspersky et Microsoft pour plus de détails :