Les faits :

Le 27 juin 2017, le ransomware Petya a commencé à toucher des entreprises, notamment des administrations et des opérateurs d'infrastructures critiques. L'attaque s'est propagée en utilisant un certain nombre de techniques de mouvement latéral, similaires à celles des attaques WanaCrypt0r/WannaCry de mai 2017, notamment la méthode utilisant l'outil d'exploit ETERNALBLUE qui se diffuse sur le réseau à l'aide du protocole SMB de Microsoft Windows. Les clients Palo Alto Networks® ont été préservés des attaques Petya grâce aux protections créées et implémentées dans les éléments de notre plateforme de sécurité de nouvelle génération. Pour en savoir plus sur la situation de la menace et la prévention contre le ransomware Petya, visionnez le webcast ici.

Mode de fonctionnement de l'attaque :

Bien que l'origine du vecteur d'infection soit méconnue, Petya tente de se propager vers d'autres hôtes par le biais de différentes techniques de mouvement latéral, en exploitant notamment une vulnérabilité SMB (CVE-2017-0144) des systèmes Microsoft Windows qui s'appuie sur l'outil d'exploit ETERNALBLUE. Cette vulnérabilité, rendue publique par le groupe Shadow Brokers en avril 2017, a été résolue par le correctif MS17-010 de Microsoft en mars 2017. Lorsque l'infection réussit, le malware chiffre les systèmes des utilisateurs et réclame 300 $ pour déverrouiller l'accès. Pour une analyse détaillée du scénario d'attaque de Petya, veuillez vous reporter au blog de l'équipe Unit 42 chargée de la recherche sur les menaces.

Mesures de prévention :

Les clients Palo Alto Networks® sont protégés par le biais de la plateforme de sécurité de nouvelle génération qui s'appuie sur la prévention des brèches pour bloquer les menaces pendant toute la durée du cycle de vie de l'attaque. Palo Alto Networks® préserve ses clients du ransomware Petya grâce à un certain nombre de contrôles de prévention supplémentaires sur la plateforme, notamment :

  • WildFire classe tous les échantillons connus en tant que malware pour bloquer automatiquement la livraison de contenu malveillant aux utilisateurs.
  • AutoFocus assure le suivi de l'attaque dans les données d'analyse de menace et l'éradication de celle-ci à l'adresse Étiquette Petya.
  • Prévention des menaces
    • Implémente les signatures IPS (version de contenu : 688-2964) correspondant à l'exploit de vulnérabilité SMB (CVE-2017-0144– MS17-010) probablement utilisé dans cette attaque.
    • Bloque l'exécution malveillante grâce aux signatures « Virus/Win32.WGeneric.mkldr » et « Virus/Win32.WGeneric.mkknd ».
  • GlobalProtect étend les protections WildFire et Threat Prevention pour assurer la cohésion de la couverture aux sites et utilisateurs distants.
  • Traps empêche l'infection initiale associée au logiciel MEDoc à l'aide de la protection des processus fils et des règles anti-piratage des DLL (mises à jour disponibles ici avec un compte obligatoire). La propagation du malware liée à l'utilisation de Mimikatz peut être empêchée à l'aide d'une analyse locale et d'une requête de cloud WildFire.
  • App-ID doit être utilisé pour contrôler le trafic SMB et WMI sur le réseau, uniquement si cela est nécessaire, afin de désactiver les anciennes versions de protocole présentant des risques élevés (par ex. SMBv1).
  • La Multi-Factor Authentication (authentification à facteurs multiples, ou MFA) peut empêcher l'utilisation d'informations d'authentification valides, susceptibles d'être employées pour infecter d'autres systèmes sur le réseau.
  • La Segmentation permet de détecter et de bloquer le trafic malveillant entre des zones définies par l'utilisateur, ce qui évite la propagation latérale de Petya. De plus, une architecture Zero-Trust appliquée à votre réseau vous permet d'effectuer une microsegmentation dans les zones.

REMARQUE : Nous surveillons constamment la situation du malware Petya et nous mettrons à jour cette publication avec de nouvelles informations sur les protections à mesure qu'elles nous sont connues.

Pour les meilleures pratiques sur la prévention des ransomware via la plateforme de sécurité de nouvelle génération Palo Alto Networks®, veuillez vous reporter à notre article sur la base de connaissances. Nous recommandons vivement à tous les utilisateurs Windows de vérifier qu'ils disposent des derniers correctifs Microsoft, y compris pour les versions des logiciels dont le support n'est plus assuré. Pour connaitre les dernières informations sur le scénario d'attaque de Petya, veuillez vous reporter à la publication d’Unit 42. Inscrivez-vous à notre webcast à la demande sur la situation de la menace et la prévention contre le ransomware Petya, disponible ici.

Historique des versions :

Le 27 juin 2017 à 20h00 heure du Pacifique

  • Ajout d'informations sur la protection assurée par App-ID

Le 28 juin 2017 à 13h15 heure du Pacifique

  • Ajout d'informations détaillées sur la MFA et la segmentation

Le 6 juillet 2017 à 17h15 heure du Pacifique

  • Ajout d'informations détaillées sur Traps

Recommandé

Vue d’ensemble du Pare-feu

Des changements fondamentaux dans l’utilisation des applications, le comportement des utilisateurs et l’infrastructure réseau, créent un paysage de nouvelles menaces exposant les faiblesses de la sécurité réseau traditionnellement basée sur les ports.

  • 0
  • 6670

Méthodes courantes et vision d’ensemble d’une attaque par ransomware

En tant qu'entreprise de sécurité de nouvelle génération, nous nous engageons à maintenir la confiance durant cette époque du numérique. Pour cela, nous assurons une utilisation sécurisée de toutes les applications et éliminons les cyber-failles pour des dizaines de milliers d'organisations à travers le monde..

  • 0
  • 244

Sécurisation des données dans les applications Saas

Un nouveau modèle d’applications publiques, disponibles sur Internet, a fait son apparition lors de la dernière décennie. Depuis lors a débuté un remplacement massif des applications commerciales déployées en interne par des applications hébergées dans le cloud. La première manifestation majeure de cette évolution fut l’adoption d’applications SaaS (Software as a Service) développées, vendues et tenues à jour par des prestataires comme Salesforce.com, NetSuite, Microsoft, Box et Dropbox.

  • 0
  • 184

Atout de la plateforme de sécurité de Nouvelle Génération: Une analyse réaliste

La conjugaison d’environnements informatiques modernes complexes et d’un paysage de menaces en rapide évolution a posé un sérieux problème à un grand nombre d’entreprises : contrôler les coûts tout en protégeant efficacement les systèmes situés au cœur de leur activité.

  • 0
  • 197

Les meilleures recommandations pour éviter les ransomwares

Les ransomwares sont passés du statut de nuisance de bas étage à celui d’activité criminelle sophistiquée pesant plusieurs millions de dollars, qui cible désormais les particuliers et les sociétés.

  • 0
  • 161

Panorama

Les dispositifs de sécurité surchargent les équipes informatiques avec des règles de sécurité complexes et des masses considérables de données provenant de multiples sources. Grâce au gestionnaire de sécurité de réseau Panorama™, vous créerez et implémenterez facilement une politique unifiée en profitant de fonctionnalités de gestion centralisée. Vous installerez et contrôlerez des pare-feu de manière centralisée grâce à des fonctionnalités de pointe et à un ensemble de règles efficace, et surveillerez le trafic et les menaces à travers tout le réseau.

  • 0
  • 2006