Les faits :
Le 27 juin 2017, le ransomware Petya a commencé à toucher des entreprises, notamment des administrations et des opérateurs d'infrastructures critiques. L'attaque s'est propagée en utilisant un certain nombre de techniques de mouvement latéral, similaires à celles des attaques WanaCrypt0r/WannaCry de mai 2017, notamment la méthode utilisant l'outil d'exploit ETERNALBLUE qui se diffuse sur le réseau à l'aide du protocole SMB de Microsoft Windows. Les clients Palo Alto Networks® ont été préservés des attaques Petya grâce aux protections créées et implémentées dans les éléments de notre plateforme de sécurité de nouvelle génération. Pour en savoir plus sur la situation de la menace et la prévention contre le ransomware Petya, visionnez le webcast ici.
Mode de fonctionnement de l'attaque :
Bien que l'origine du vecteur d'infection soit méconnue, Petya tente de se propager vers d'autres hôtes par le biais de différentes techniques de mouvement latéral, en exploitant notamment une vulnérabilité SMB (CVE-2017-0144) des systèmes Microsoft Windows qui s'appuie sur l'outil d'exploit ETERNALBLUE. Cette vulnérabilité, rendue publique par le groupe Shadow Brokers en avril 2017, a été résolue par le correctif MS17-010 de Microsoft en mars 2017. Lorsque l'infection réussit, le malware chiffre les systèmes des utilisateurs et réclame 300 $ pour déverrouiller l'accès. Pour une analyse détaillée du scénario d'attaque de Petya, veuillez vous reporter au blog de l'équipe Unit 42 chargée de la recherche sur les menaces.
Mesures de prévention :
Les clients Palo Alto Networks® sont protégés par le biais de la plateforme de sécurité de nouvelle génération qui s'appuie sur la prévention des brèches pour bloquer les menaces pendant toute la durée du cycle de vie de l'attaque. Palo Alto Networks® préserve ses clients du ransomware Petya grâce à un certain nombre de contrôles de prévention supplémentaires sur la plateforme, notamment :
- WildFire classe tous les échantillons connus en tant que malware pour bloquer automatiquement la livraison de contenu malveillant aux utilisateurs.
- AutoFocus assure le suivi de l'attaque dans les données d'analyse de menace et l'éradication de celle-ci à l'adresse Étiquette Petya.
- Prévention des menaces
- Implémente les signatures IPS (version de contenu : 688-2964) correspondant à l'exploit de vulnérabilité SMB (CVE-2017-0144– MS17-010) probablement utilisé dans cette attaque.
- Bloque l'exécution malveillante grâce aux signatures « Virus/Win32.WGeneric.mkldr » et « Virus/Win32.WGeneric.mkknd ».
- GlobalProtect étend les protections WildFire et Threat Prevention pour assurer la cohésion de la couverture aux sites et utilisateurs distants.
- Traps empêche l'infection initiale associée au logiciel MEDoc à l'aide de la protection des processus fils et des règles anti-piratage des DLL (mises à jour disponibles ici avec un compte obligatoire). La propagation du malware liée à l'utilisation de Mimikatz peut être empêchée à l'aide d'une analyse locale et d'une requête de cloud WildFire.
- App-ID doit être utilisé pour contrôler le trafic SMB et WMI sur le réseau, uniquement si cela est nécessaire, afin de désactiver les anciennes versions de protocole présentant des risques élevés (par ex. SMBv1).
- La Multi-Factor Authentication (authentification à facteurs multiples, ou MFA) peut empêcher l'utilisation d'informations d'authentification valides, susceptibles d'être employées pour infecter d'autres systèmes sur le réseau.
- La Segmentation permet de détecter et de bloquer le trafic malveillant entre des zones définies par l'utilisateur, ce qui évite la propagation latérale de Petya. De plus, une architecture Zero-Trust appliquée à votre réseau vous permet d'effectuer une microsegmentation dans les zones.
REMARQUE : Nous surveillons constamment la situation du malware Petya et nous mettrons à jour cette publication avec de nouvelles informations sur les protections à mesure qu'elles nous sont connues.
Pour les meilleures pratiques sur la prévention des ransomware via la plateforme de sécurité de nouvelle génération Palo Alto Networks®, veuillez vous reporter à notre article sur la base de connaissances. Nous recommandons vivement à tous les utilisateurs Windows de vérifier qu'ils disposent des derniers correctifs Microsoft, y compris pour les versions des logiciels dont le support n'est plus assuré. Pour connaitre les dernières informations sur le scénario d'attaque de Petya, veuillez vous reporter à la publication d’Unit 42. Inscrivez-vous à notre webcast à la demande sur la situation de la menace et la prévention contre le ransomware Petya, disponible ici.
Historique des versions :
Le 27 juin 2017 à 20h00 heure du Pacifique
- Ajout d'informations sur la protection assurée par App-ID
Le 28 juin 2017 à 13h15 heure du Pacifique
- Ajout d'informations détaillées sur la MFA et la segmentation
Le 6 juillet 2017 à 17h15 heure du Pacifique
- Ajout d'informations détaillées sur Traps