ALERTE DE SÉCURITÉ : Vague d’attaques de ransomwares
Le 09-11-2020
Chers clients,
Vous avez certainement constaté que les attaques liées au ransomware RYUK continuent de se multiplier au sein des entreprises et de se propager à travers le monde.
Le FBI et la NSA affirment en effet disposer d’informations crédibles sur une vague imminente de cyber-attaques sur le point de frapper les hôpitaux et les organismes de soins de santé, en particulier sur le sol américain. Dans ce contexte tendu AntemetA recommande donc à tous ses partenaires de se mettre en état d’alerte. Si l’attaque devait impacter les infrastructures françaises, elle porterait en effet un coup supplémentaire aux établissements de santé déjà sous pression en raison de la deuxième vague de la pandémie COVID-19, mettant ainsi gravement en péril la prestation des services médicaux.
Plus généralement, utilisé par un groupe de cybercriminels basé en Russie, le ransomware RYUK a déjà touché plusieurs industries sur le territoire national. Il se propage par le biais de malware tels que Trickbot, Emotet, MalSpam … et utilise les identifiants administrateur, préalablement volées, pour accéder à distance aux systèmes et chiffrer les disques. RYUK est difficile à identifier car il est capable de ne laisser aucune trace derrière lui.
Nous surveillons en permanence les menaces liées aux ransomwares et ajoutons au fur et à mesure de nouvelles capacités de détection et de protection dans nos moteurs d’analyse SIEM. Les experts sécurité d’AntemetA surveillent de près l’évolution des menaces et recommandent ce qui suit à l’ensemble de ses clients et entreprises susceptibles d’être confrontées à ce ransomware :
- Assurez-vous que vos solutions de sécurité soient toujours configurées correctement et mises à jour avec les dernières versions.
- Assurez-vous que l’intégralité de votre SI soit à jour en terme de release et de patch de sécurité. Le cas échéant un scanner de vulnérabilité peut être réalisé pour permettre d’identifier les systèmes vulnérables et non à jour.
- Assurez-vous que tous les contrôleurs de domaine soient patchés contre la vulnérabilité « Zerologon ». Les hackers profitent de cette vulnérabilité pour obtenir un accès au niveau du domaine. De nombreux malwares utilisent ces vulnérabilités pour compromettre les machines. RYUK profite de ces identifiants d’administrateur de domaine pour accéder à distance et chiffrer les disques par le biais des partages d’administrateur sur le PC Windows. Cela signifie qu’aucun code malveillant ne s’exécute jamais sur le système qui est chiffré.
- En fonction des différents besoins de l’organisation, envisagez, soit de désactiver complètement les partages administratifs, soit de bloquer l’accès via des solutions de pare-feu. Les récentes mises à jour de RYUK ont en effet montré que le ransomware tente de chiffrer des fichiers en utilisant les partages administratifs de Windows (SMB).
- Désactivez Powershell au travers d’une stratégie de groupe (Group Policy) Powershell étant souvent utilisé par les malwares, il est en effet recommandé de le désactiver pour bénéficier d’une meilleure protection, à moins que ce service ne vous soit indispensable.
- Désactiver PowerShell : https://activedirectorypro.com/disable-powershell-with-group-policy/
- Le spam étant le principal vecteur d’attaques par ransomwares, protégez votre messagerie électronique de façon optimale. Il est également important de sensibiliser tous vos collaborateurs aux bonnes pratiques de sécurité et sur la vigilance accrue nécessaire concernant l’utilisation de la messagerie.
- Sauvegardez régulièrement toutes les données afin de minimiser les dommages potentiels. Faites des copies de sauvegarde hors ligne protégées en « air gap » et par un mot de passe pour les données les plus sensibles afin de pouvoir les récupérer rapidement.
Bien cordialement ,
Votre service clients AntemetA.
Accès Espace Client
+33 800 22 24 24