Alerte - Rançongiciel - Petya

Numéro : AL17-008
Date : Le 27 juin 2017

Objet

La présente alerte a pour but d’attirer l’attention sur une campagne de rançongiciels de grande envergure et de fournir des directives et des conseils en matière d’atténuation des risques.

Évaluation

Le CCRIC a pris connaissance d’une campagne de rançongiciels de grande envergure qui cible de multiples organismes à travers le monde. Alors qu’on mène actuellement une enquête afin d’obtenir les détails exhaustifs au sujet de cette campagne, le Centre collabore avec ses partenaires au pays et à l’étranger afin de connaître et de comprendre l’incidence de cette campagne, de façon à fournir la meilleure information possible en matière de détection et d’atténuation.

Cette campagne semble distribuer une variante du rançongiciel Petya. Le vecteur d’infection initial demeure inconnu pour le moment. Toutefois, on a noté l’exploitation de la vulnérabilité SMBv1 corrigée et décrite dans le bulletin de sécurité de Microsoft MS17-010 (les liens sont fournis ci-dessous).

Un rançongiciel peut avoir de graves conséquences pour les personnes, les entreprises, les infrastructures essentielles et les gouvernements. En plus de perdre l’accès à ses renseignements de nature délicate ou exclusive, la victime doit également composer avec des activités courantes profondément perturbées, et son organisation risque d’essuyer de lourdes pertes financières et de voir sa réputation irrémédiablement entachée.

Le CCRIC recommande fortement de ne pas payer la rançon exigée, puisque rien ne garantit que l’auteur supprimera le chiffrement par la suite. En outre, le déchiffrement des fichiers ne signifie pas que l’infection elle-même a été supprimée.

Mesures Recommandées

Le CCRIC recommande aux organisations de prendre connaissance des mesures d’atténuation suivantes et d’envisager de les mettre en œuvre en fonction de leur environnement réseau.

• Installer les correctifs publiés par Microsoft dans le bulletin d’appui MS17-010 en vue de corriger la vulnérabilité SMBv1, datant du 14 mars 2017. L’avis du CCRIC AV17-068 offre d’autres renseignements à ce sujet.
• Installer la mise à jour de Microsoft pour certaines versions de Windows anciennes ou pour lesquelles on n’offre plus de soutien. D’autres renseignements à ce sujet sont disponibles à l’adresse suivante : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
• Envisager la désactivation du protocole SMBv1 ou le bloquer sur les ports des appareils réseau (ports UDP 137 et 138, ports TCP 139 et 445]. Le développeur a publié de l’orientation à ce sujet à l’adresse suivante : https://support.microsoft.com/fr-ca/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows.
• Réduire le nombre d’utilisateurs dotés de privilèges administrateurs et revalider fréquemment les exigences relatives à l’obtention d’un compte avec de tels privilèges.
• Envisager d’activer le contrôle de compte utilisateur sur les hôtes Windows dans l’ensemble de votre réseau.
• Faires des sauvegardes quotidiennes de tous les systèmes essentiels, tenir à jour des copies hors sites et hors ligne des supports de sauvegarde et effectuez périodiquement des exercices de restauration à partir des copies de secours, y compris les bases de données principales, pour assurer l’intégrité des sauvegardes et des processus en place.
• S’assurer que les antivirus et les outils de protection des passerelles sont à jour.
• Analyser les courriels entrants et sortants au moyen d’un antivirus pour y relever la présence de menaces et pour empêcher des fichiers exécutables d’atteindre l’utilisateur final.
• Ne jamais ouvrir un lien ou un fichier joint dans un courriel si ce dernier provient d’une source inconnue ou non fiable. Vérifier soigneusement l’adresse de l’expéditeur, qui pourrait imiter une adresse de courriel légitime conçue spécialement pour tromper la vigilance du destinataire.
• Le CCRIC recommande aux organismes de former leur personnel et de l’informer de la situation actuelle, notamment comment signaler au personnel de la sécurité des TI tout courriel suspect ou inhabituel. Une révision des politiques et exigences ministérielles, ainsi que de la formation ou une sensibilisation à la sécurité, peut aider à atténuer ce risque.

Références :

• Avis AV17-068 du CCRIC: Mises à jour de sécurité Microsoft MS17-010 - (SMBv1)

• Bulletin de sécurité Microsoft MS17-010 - Critique
  https://technet.microsoft.com/fr-ca/library/security/ms17-010.aspx

• Bulletin sur la cybersécurité IN13-004 du CCRIC – Les rançongiciels           
  http://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2013/in13-004-fra.aspx

• Bulletin sur la cybersécurité TR11-001 du CCRIC – Guide de rétablissement à la suite d’une infection par un logiciel malveillant
  http://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-001-fra.asp

• CST: Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information du gouvernement du Canada