Les faits :

Le 27 juin 2017, le ransomware Petya a commencé à toucher des entreprises, notamment des administrations et des opérateurs d'infrastructures critiques. L'attaque s'est propagée en utilisant un certain nombre de techniques de mouvement latéral, similaires à celles des attaques WanaCrypt0r/WannaCry de mai 2017, notamment la méthode utilisant l'outil d'exploit ETERNALBLUE qui se diffuse sur le réseau à l'aide du protocole SMB de Microsoft Windows. Les clients Palo Alto Networks® ont été préservés des attaques Petya grâce aux protections créées et implémentées dans les éléments de notre plateforme de sécurité de nouvelle génération. Pour en savoir plus sur la situation de la menace et la prévention contre le ransomware Petya, visionnez le webcast ici.

Mode de fonctionnement de l'attaque :

Bien que l'origine du vecteur d'infection soit méconnue, Petya tente de se propager vers d'autres hôtes par le biais de différentes techniques de mouvement latéral, en exploitant notamment une vulnérabilité SMB (CVE-2017-0144) des systèmes Microsoft Windows qui s'appuie sur l'outil d'exploit ETERNALBLUE. Cette vulnérabilité, rendue publique par le groupe Shadow Brokers en avril 2017, a été résolue par le correctif MS17-010 de Microsoft en mars 2017. Lorsque l'infection réussit, le malware chiffre les systèmes des utilisateurs et réclame 300 $ pour déverrouiller l'accès. Pour une analyse détaillée du scénario d'attaque de Petya, veuillez vous reporter au blog de l'équipe Unit 42 chargée de la recherche sur les menaces.

Mesures de prévention :

Les clients Palo Alto Networks® sont protégés par le biais de la plateforme de sécurité de nouvelle génération qui s'appuie sur la prévention des brèches pour bloquer les menaces pendant toute la durée du cycle de vie de l'attaque. Palo Alto Networks® préserve ses clients du ransomware Petya grâce à un certain nombre de contrôles de prévention supplémentaires sur la plateforme, notamment :

  • WildFire classe tous les échantillons connus en tant que malware pour bloquer automatiquement la livraison de contenu malveillant aux utilisateurs.
  • AutoFocus assure le suivi de l'attaque dans les données d'analyse de menace et l'éradication de celle-ci à l'adresse Étiquette Petya.
  • Prévention des menaces
    • Implémente les signatures IPS (version de contenu : 688-2964) correspondant à l'exploit de vulnérabilité SMB (CVE-2017-0144– MS17-010) probablement utilisé dans cette attaque.
    • Bloque l'exécution malveillante grâce aux signatures « Virus/Win32.WGeneric.mkldr » et « Virus/Win32.WGeneric.mkknd ».
  • GlobalProtect étend les protections WildFire et Threat Prevention pour assurer la cohésion de la couverture aux sites et utilisateurs distants.
  • Traps empêche l'infection initiale associée au logiciel MEDoc à l'aide de la protection des processus fils et des règles anti-piratage des DLL (mises à jour disponibles ici avec un compte obligatoire). La propagation du malware liée à l'utilisation de Mimikatz peut être empêchée à l'aide d'une analyse locale et d'une requête de cloud WildFire.
  • App-ID doit être utilisé pour contrôler le trafic SMB et WMI sur le réseau, uniquement si cela est nécessaire, afin de désactiver les anciennes versions de protocole présentant des risques élevés (par ex. SMBv1).
  • La Multi-Factor Authentication (authentification à facteurs multiples, ou MFA) peut empêcher l'utilisation d'informations d'authentification valides, susceptibles d'être employées pour infecter d'autres systèmes sur le réseau.
  • La Segmentation permet de détecter et de bloquer le trafic malveillant entre des zones définies par l'utilisateur, ce qui évite la propagation latérale de Petya. De plus, une architecture Zero-Trust appliquée à votre réseau vous permet d'effectuer une microsegmentation dans les zones.

REMARQUE : Nous surveillons constamment la situation du malware Petya et nous mettrons à jour cette publication avec de nouvelles informations sur les protections à mesure qu'elles nous sont connues.

Pour les meilleures pratiques sur la prévention des ransomware via la plateforme de sécurité de nouvelle génération Palo Alto Networks®, veuillez vous reporter à notre article sur la base de connaissances. Nous recommandons vivement à tous les utilisateurs Windows de vérifier qu'ils disposent des derniers correctifs Microsoft, y compris pour les versions des logiciels dont le support n'est plus assuré. Pour connaitre les dernières informations sur le scénario d'attaque de Petya, veuillez vous reporter à la publication d’Unit 42. Inscrivez-vous à notre webcast à la demande sur la situation de la menace et la prévention contre le ransomware Petya, disponible ici.

Historique des versions :

Le 27 juin 2017 à 20h00 heure du Pacifique

  • Ajout d'informations sur la protection assurée par App-ID

Le 28 juin 2017 à 13h15 heure du Pacifique

  • Ajout d'informations détaillées sur la MFA et la segmentation

Le 6 juillet 2017 à 17h15 heure du Pacifique

  • Ajout d'informations détaillées sur Traps

Livre blanc

ZERO TRUST : IMPLÉMENTATION SIMPLIFIÉE EN CINQ ÉTAPES

Pour simplifier de votre réseau Zero Trust, nous vous proposons une méthodologie en cinq étapes. Le présent livre blanc détaille chacune d’elles et vous explique comment la plateforme intégrée de Palo Alto Networks vous accompagne tout au long de ce parcours pour simplifier la protection de vos ressources stratégiques.

  • 543

Feuille de données

Prisma Cloud : En bref

Avec Prisma Cloud de Palo Alto Networks®, les entreprises peuvent préserver leur conformité et gérer leur sécurité aux niveaux stratégique et opérationnel sur tous leurs environnements de cloud public.

  • 150

Livre blanc

XDR REDÉFINITVOS OPÉRATIONS DE SÉCURITÉ

Toutes les équipes de sécurité ont un objectif commun : protéger les données et l’infrastructure de leur entreprise contreles dommages, les accès non-autorisés et les utilisations abusives. En ce sens, les ingénieurs et architectes de sécurité ont traditionnellement adopté une approche multi-niveau de la prévention, par une superposition des différents rideaux défensifs. Avec l’automatisation et la complexification accrues des attaques, cette approche a elle aussi évolué de manière à offrir plusieurs couches de visibilité à travers diverses solutions : les systèmes de détection et de réponse sur les terminaux (EDR), les systèmes d’analyse du trafic réseau (NTA), les systèmes de gestion des évènements et de sécurité de l’information (SIEM).

  • 215

Feuille de données

Services managés de détection et de réponse (MDR)

Faites confiance à nos partenaires MDR pour agir en appui de vos équipes de sécurité opérationnelle. Équipés de la technologie Cortex XDR™, ils apportent toute l'expertise et les ressources nécessaires pour libérer vos équipes de certaines pressions du quotidien. Présents à vos côtés 24h/7j, ils gèrent proactivement les alertes, traquent les menaces et répondent aux incidents sur les terminaux, le réseau et les environnements cloud. Plus besoin d'attendre des années ! Avec nos partenaires, vous êtes opérationnels en à peine quelques semaines. Côté SLA, ils vous garantiront des délais moyens de détection et de réponse (MTTD et MTTR) inférieurs à une heure.

  • 1355

Blog

Descriptif de menace: Ransomware Petya

C'est un grand jour pour Palo Alto Networks et nos partenaires, qui confirme notre essor dans la protection avancée des terminaux. Nous sommes très fiers d'apprendre que Traps est le grand vainqueur du palmarès CRN des produits de l'année 2016 dans la catégorie Sécurité des postes de travail et serveurs.

  • 498

Livre blanc

Protection du cloud : le business case de Prisma Cloud

Prisma™ Cloud est un service de mise en conformité et de protection renforcée sur Google Cloud Platform (GCP™), Amazon Web Services (AWS®) et Microsoft Azure®. Son approche innovante s’appuie sur le machine learning pour corréler des données de sécurité disparates et offrir une visibilité complète qui permet de détecter et de répondre plus rapidement aux menaces, y compris dans les environnements multicloud les plus fragmentés. Avec Prisma Cloud, les entreprises peuvent assurer leur conformité et gérer leur sécurité aux niveaux stratégique et opérationnel sur tous leurs environnements de cloud public.

  • 107