Les faits :

Le 27 juin 2017, le ransomware Petya a commencé à toucher des entreprises, notamment des administrations et des opérateurs d'infrastructures critiques. L'attaque s'est propagée en utilisant un certain nombre de techniques de mouvement latéral, similaires à celles des attaques WanaCrypt0r/WannaCry de mai 2017, notamment la méthode utilisant l'outil d'exploit ETERNALBLUE qui se diffuse sur le réseau à l'aide du protocole SMB de Microsoft Windows. Les clients Palo Alto Networks® ont été préservés des attaques Petya grâce aux protections créées et implémentées dans les éléments de notre plateforme de sécurité de nouvelle génération. Pour en savoir plus sur la situation de la menace et la prévention contre le ransomware Petya, visionnez le webcast ici.

Mode de fonctionnement de l'attaque :

Bien que l'origine du vecteur d'infection soit méconnue, Petya tente de se propager vers d'autres hôtes par le biais de différentes techniques de mouvement latéral, en exploitant notamment une vulnérabilité SMB (CVE-2017-0144) des systèmes Microsoft Windows qui s'appuie sur l'outil d'exploit ETERNALBLUE. Cette vulnérabilité, rendue publique par le groupe Shadow Brokers en avril 2017, a été résolue par le correctif MS17-010 de Microsoft en mars 2017. Lorsque l'infection réussit, le malware chiffre les systèmes des utilisateurs et réclame 300 $ pour déverrouiller l'accès. Pour une analyse détaillée du scénario d'attaque de Petya, veuillez vous reporter au blog de l'équipe Unit 42 chargée de la recherche sur les menaces.

Mesures de prévention :

Les clients Palo Alto Networks® sont protégés par le biais de la plateforme de sécurité de nouvelle génération qui s'appuie sur la prévention des brèches pour bloquer les menaces pendant toute la durée du cycle de vie de l'attaque. Palo Alto Networks® préserve ses clients du ransomware Petya grâce à un certain nombre de contrôles de prévention supplémentaires sur la plateforme, notamment :

  • WildFire classe tous les échantillons connus en tant que malware pour bloquer automatiquement la livraison de contenu malveillant aux utilisateurs.
  • AutoFocus assure le suivi de l'attaque dans les données d'analyse de menace et l'éradication de celle-ci à l'adresse Étiquette Petya.
  • Prévention des menaces
    • Implémente les signatures IPS (version de contenu : 688-2964) correspondant à l'exploit de vulnérabilité SMB (CVE-2017-0144– MS17-010) probablement utilisé dans cette attaque.
    • Bloque l'exécution malveillante grâce aux signatures « Virus/Win32.WGeneric.mkldr » et « Virus/Win32.WGeneric.mkknd ».
  • GlobalProtect étend les protections WildFire et Threat Prevention pour assurer la cohésion de la couverture aux sites et utilisateurs distants.
  • Traps empêche l'infection initiale associée au logiciel MEDoc à l'aide de la protection des processus fils et des règles anti-piratage des DLL (mises à jour disponibles ici avec un compte obligatoire). La propagation du malware liée à l'utilisation de Mimikatz peut être empêchée à l'aide d'une analyse locale et d'une requête de cloud WildFire.
  • App-ID doit être utilisé pour contrôler le trafic SMB et WMI sur le réseau, uniquement si cela est nécessaire, afin de désactiver les anciennes versions de protocole présentant des risques élevés (par ex. SMBv1).
  • La Multi-Factor Authentication (authentification à facteurs multiples, ou MFA) peut empêcher l'utilisation d'informations d'authentification valides, susceptibles d'être employées pour infecter d'autres systèmes sur le réseau.
  • La Segmentation permet de détecter et de bloquer le trafic malveillant entre des zones définies par l'utilisateur, ce qui évite la propagation latérale de Petya. De plus, une architecture Zero-Trust appliquée à votre réseau vous permet d'effectuer une microsegmentation dans les zones.

REMARQUE : Nous surveillons constamment la situation du malware Petya et nous mettrons à jour cette publication avec de nouvelles informations sur les protections à mesure qu'elles nous sont connues.

Pour les meilleures pratiques sur la prévention des ransomware via la plateforme de sécurité de nouvelle génération Palo Alto Networks®, veuillez vous reporter à notre article sur la base de connaissances. Nous recommandons vivement à tous les utilisateurs Windows de vérifier qu'ils disposent des derniers correctifs Microsoft, y compris pour les versions des logiciels dont le support n'est plus assuré. Pour connaitre les dernières informations sur le scénario d'attaque de Petya, veuillez vous reporter à la publication d’Unit 42. Inscrivez-vous à notre webcast à la demande sur la situation de la menace et la prévention contre le ransomware Petya, disponible ici.

Historique des versions :

Le 27 juin 2017 à 20h00 heure du Pacifique

  • Ajout d'informations sur la protection assurée par App-ID

Le 28 juin 2017 à 13h15 heure du Pacifique

  • Ajout d'informations détaillées sur la MFA et la segmentation

Le 6 juillet 2017 à 17h15 heure du Pacifique

  • Ajout d'informations détaillées sur Traps

Recommandé

Spécifications de plate-forme et résumé des fonctionnalités

Spécifications de plateforme et résumé des fonctionnalités
  • 0
  • 489

Vue d’ensemble du Pare-feu

Des changements fondamentaux dans l’utilisation des applications, le comportement des utilisateurs et l’infrastructure réseau, créent un paysage de nouvelles menaces exposant les faiblesses de la sécurité réseau traditionnellement basée sur les ports.
  • 0
  • 7518

PA-5200 Series

Les pare-feu nouvelle génération PA-5200 Series de Palo Alto Networks® comprennent les modèles suivants : PA-5260, PA-5250 et PA-5220.
  • 0
  • 263

Traps : Advanced Endpoint Protection

Palo Alto Networks Traps remplace les antivirus traditionnels par une approche de prévention multiméthodes qui sécurise les terminaux contre les logiciels malveillants connus et inconnus, ainsi que les failles, avant toute compromission du système.
  • 0
  • 15563

PA-3200 Series

Palo Alto Networks® Les pare-feu nouvelle génération PA-3200 Series sont composés des modèles PA-3260, PA-3250 et PA-3220, tous destinés aux dé- ploiements de passerelles Internet haute vitesse. Le pare-feu PA-3200 sécurise l’intégralité du trafic, y compris le trafic chiffré au moyen de processeurs et de mémoires dédiés à la mise en réseau, la sécurité, la prévention et la gestion des menaces.
  • 0
  • 3604

PA-800 Series

Les pare-feu Palo Alto Networks PA-800 Series nouvelle génération, dont font partie les modèles PA-820 et PA-850, sont conçus pour assurer la sécurité des filiales et entreprises de taille moyenne.
  • 0
  • 3773