Sommaire
Pourquoi ce cheval de Troie en particulier a-t-il eu autant de succès – en quoi était-il si spécial?
L'attaque a été bien préparée par ses auteurs. NotPetya s'est initialement propagé via le logiciel de comptabilité M.E.Doc lorsque des cybercriminels ont piraté le mécanisme de mise à jour du logiciel pour diffuser NotPetya aux systèmes lors de la mise à jour du logiciel. Ce fut un paradoxe amer, car il est toujours conseillé aux utilisateurs de mettre à jour leur logiciel, mais dans ce cas particulier, un programme de mise à jour trojanisé de ce logiciel a démarré la chaîne d'infection.Ce type d'attaque de la chaîne d'approvisionnement n'était pas courant à l'époque, entraînant un retard dans déterminer la cause profonde de l'attaque. La vitesse à laquelle il s'est propagé à travers les réseaux infectés était fascinante.
Le cheval de Troie aurait profité d'une vulnérabilité connue depuis longtemps: (quoi) les entreprises / organisations ont-elles appris de cela?
Pour son mouvement latéral, NotPetya a utilisé trois méthodes de propagation différentes: exploiter EternalBlue (connu de WannaCry), exploiter EternalRomance et via les partages réseau Windows en utilisant les informations d'identification volées de la victime (cela a été fait via un outil de type Mimikatz, qui extrait les mots de passe) et des outils légitimes comme PsExec et WMIC. Ces techniques supplémentaires, qui comprenaient l'exploitation de vulnérabilités connues pour lesquelles les correctifs étaient disponibles depuis longtemps, étaient probablement la raison pour laquelle elles ont réussi, malgré le fait qu'EternalBlue ait attiré l'attention après l'attaque de WannaCry moins de deux mois avant l'attaque de NotPetya. Je ne peux qu'espérer que les entreprises ont appris à mettre à jour leurs systèmes d'exploitation et leurs applications dès qu'une mise à jour sera disponible, malgré NotPetya, malheureusement, se propageant via une mise à jour du produit.
La propagation pourrait-elle se reproduire sous cette forme à tout moment?
Ce n'est qu'une question de temps avant qu'il n'y ait une autre épidémie majeure de logiciels malveillants, le moment et l'étendue de l'attaque dépend de plusieurs facteurs, y compris la disponibilité d'un exploit de haute qualité comme EternalBlue, l'acteur du logiciel malveillant, et leur motivation.
Microsoft a fait un bon travail de correction d'EternalBlue, et la vulnérabilité n'est désormais principalement présente que dans les anciens systèmes comme Windows 7 et Windows XP. Sur les PC analysés par Avast du 23 mai au 22 juin 2020, seulement 4% dans le monde fonctionnent avec EternalBlue, au Royaume-Uni, c'est 0,82%.
Comment les organisations peuvent-elles se protéger?
Les entreprises peuvent prendre de nombreuses mesures pour se protéger des pirates. Les entreprises doivent s'assurer qu'elles disposent de plusieurs couches de défense, y compris un antivirus, un pare-feu, une détection d'intrusion, mettre à jour régulièrement leur micrologiciel et leurs logiciels et mettre en œuvre des droits d'accès appropriés pour leurs employés. De plus, les entreprises doivent évaluer les logiciels qu'elles utilisent, en s'assurant que les logiciels qu'elles utilisent continuent de recevoir des mises à jour de sécurité.
Il est également extrêmement important pour les entreprises de garder à l'esprit le facteur humain lors de l'examen de la meilleure façon de sécuriser leur entreprise. Les humains font des erreurs et les pirates aiment exploiter les erreurs humaines, il est donc essentiel que les entreprises discutent des meilleures pratiques de sécurité avec leurs employés.
Les tests de pénétration sont un excellent moyen pour les entreprises de voir où se trouvent leurs faiblesses et quels pirates pourraient potentiellement exploiter en ligne et hors ligne. Les tests de pénétration devraient être effectués plusieurs fois par an, car les pirates recherchent et trouvent toujours de nouvelles façons de se frayer un chemin dans les entreprises.
Enfin, mais tout aussi important, les entreprises doivent conserver des sauvegardes de leurs données. Il existe une gamme de différentes solutions de sauvegarde potentielles, du stockage cloud aux disques durs externes, du stockage de périphériques réseau aux clés USB ou aux lecteurs flash. Le nombre de sauvegardes d'une entreprise est tout aussi important que l'endroit où elles sont sauvegardées. L'enregistrement des informations sur deux emplacements, dans le cloud et sur un disque dur externe physique, peut aider à sécuriser les informations. Lorsque vous utilisez un disque dur externe, il est important de le déconnecter et de le stocker dans un endroit sûr après le processus de sauvegarde pour protéger les informations contre les logiciels malveillants tels que les ransomwares, qui peuvent se propager des ordinateurs aux appareils connectés. Enfin, l'une des meilleures pratiques de travail les plus importantes consiste à activer toute option de sauvegarde automatique offerte par la plupart des services de stockage cloud. Cela garantit que les données sont automatiquement sauvegardées et sécurisées, supprimant toute tentation d'appuyer sur le bouton "Me le rappeler plus tard".
Jakub Kroustek est le chef d'équipe de Threat Lab à Avast
