EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


mercredi 28 juin 2017

L'attaque du #ransomware #ExPetr aka #Petya != #NotPetya #Kaspersky

Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin

Les chercheurs de Kaspersky Lab travaillent actuellement sur la nouvelle vague de ransomwares qui cible les entreprises à travers le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya ainsi que cela a été annoncé mais d’un nouveau ransomware, inconnu à ce jour. Bien qu’il ait quelques similitudes avec Petya, il a des fonctionnalités totalement différentes. Nous l’avons appelé ExPetr.

Nos indicateurs révèlent environ 2000 entités attaquées jusqu’ici. Des entreprises russes et ukrainiennes sont les plus touchées et nous avons également vu des attaques en Pologne, en Italie, au Royaume-Uni, en France aux Etats-Unis et dans plusieurs autres pays.

Cette attaque se révèle complexe avec plusieurs vecteurs de compromission. Nous pouvons confirmer que des versions modifiées de l’exploit EternalBlue et d’EternalRomance sont utilisées pour la propagation au sein des réseaux d’entreprises.

Kaspersky Lab détecte la menace ainsi :

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen


Notre moteur de détection comportementale System Watcher détecte la menace ainsi :

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic


Dans la plupart des cas, Kaspersky Lab détecte proactivement le vecteur initial d’infection grâce à son moteur de détection comportementale, System Watcher. Nous travaillons également à des améliorations de la détection comportementale des ransomwares pour détecter proactivement d’éventuelles futures versions.

Les experts de Kaspersky Lab continuent d’étudier l’attaque pour déterminer s’il est possible de déchiffrer les données bloquées par l’attaque dans le but de développer un outil de déchiffrement au plus vite.

Nous conseillons à toutes les entreprises de mettre à jour leurs systèmes Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le patch de sécurité MS17-010

Nous conseillons également à toutes les entreprises de s’assurer qu’elles ont une sauvegarde. Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type.

Les clients de Kaspersky Lab sont invités à :

  • Vérifier que les mécanismes de protection recommandés sont activés et que les composants KSN et System Watcher (activés par défaut) ne sont pas désactivés.
  • Pour rajouter une mesure de sécurié, utiliser Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm - https://help.kaspersky.com/KESWin/10SP2/fr-FR/129102.htm), un composant de Kaspersky Endpoint Security pour empêcher l’exécution du fichier nommé perfc.dat et bloquer l’exécution de l’utilitaire PSExec (qui fait partie de la suite Sysinternals)
  • Configurer et activer le mode “Default Deny” du composant Application Startup Control de Kaspersky Endpoint Security pour s’assurer d’une protection proactive contre cette attaque et d’autres.


Si vous n’avez pas les produits de Kaspersky Lab sur votre appareil, utilisez la fonctionnalité AppLocker de Windows pour empêcher l’exécution de n’importe quel fichier qui porterait le nom “perfc.dat” ou l’utilitaire PSExec de la suite Sysinternals.

Pour des informations détaillées, nous vous invitons à vous rendre sur le post de nos chercheurs du GReAT : https://securelist.com/schroedingers-petya/78870/

Cet article comporte les indicateurs de compromission, les règles Yara ainsi que des verdicts supplémentaires.

Votre équipe Kaspersky Lab


ExPetr/Petya/NotPetya is a Wiper, Not Ransomware (By Anton Ivanov, Orkhan Mamedov on June 28, 2017. 6:51 pm)


mardi 27 juin 2017

Le #ransomware #Petya > les consignes de @ANSSI_FR / MENACE HAUTE - VICTIMES Impact mondial particuliers et entreprises - @certbe / Kaspersky - #NotPetya

Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d'information à cette date (27 juin 2017 à 16h30).

Suite au premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d'infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l'adresse électronique wowsmith123456@posteo.net.

.../...

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); le respect des recommandations génériques relatives aux rançongiciels ; de limiter l'exposition du service SMB, en particulier sur internet ; de ne pas payer la rançon.

.../...


Alert (TA17-181A) Petya Ransomware


MAJ CERT.BE

CERT.be a appris par des partenaires fiables que les autorités ukrainiennes, des entreprises russes et une compagnie danoise qui opère des terminaux de containers sont victimes d’une nouvelle attaque par ransomware. Peu après des sociétés inscrites aux Pays-Bas, en Espagne, en France, en Grande-Bretagne et en Belgique ont allongé la liste des victimes. Il semblerait qu’elles aient affaire à une nouvelle variante du ransomware « Petya ». Celle-ci semble se propager sur les réseaux (locaux) grâce à l’exploit « EternalBlue/DoublePulsar » pour le service SMB, qui a a fait fureur le mois passé grâce à ‘Wannacry’. Une fois qu’un système est infcté, le ransomware tente de se propager grâce à un outil interne à Windows (WMIC) et l’outil de gestion à distance PsExec. Le vecteur d’infection initial n’a pas encore été identifié, mais on soupçonne une propagation par un document excel présentant une fausse signature Windows (LokiBot).

Une fois le système infecté par le ransomware, celui-ci tente de chiffrer le disque dur en faisant usage de privilèges administrateur. En cas d’échec, il utilise un exploit sysème et s’injecte dans le MBR4 du disque dur et enregistre une tâche planifiée qui redémarre la machine une heure plus tard. Après le redémarrage du système, le ransomware s’exécute en mémoire et commence le chiffrement.

Il n’y a pas de « killswitch » et le ransomware ne communique pas avec un quelconque serveur de commande.

Le fichiers ayant les extensions suivantes sont chiffrés :

  • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc .docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf .ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd .vmx.vsdx.vsv.work.xls.xlsx.xvd.zip

.../...


Une cyberattaque mondiale vise des institutions et des entreprises, dont Saint-Gobain et Auchan

Des attaques informatiques se sont multipliées dans le monde ce mardi. Le virus a contaminé des banques et des entreprises ukrainiennes, le français Saint-Gobain et la filiale ukrainienne d'Auchan, le pétrolier russe Rosneft, le transporteur danois Maersk, le port de Rotterdam, mais aussi la centrale de Tchernobyl.

.../...

Mais le spécialiste russe Kaspersky Labs, lui, estime que ce n'est pas Petya qui est en cause. "Notre analyse préliminaire suggère qu'il ne s'agit pas d'une variante du ransomware Petya, comme suggéré jusqu'ici, mais d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici. C'est la raison pour laquelle nous l'avons surnommé NotPetya", a expliqué l'entreprise dans son communiqué. "Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées", a détaillé Kaspersky Labs. Afin d'empêcher la propagation, l'entreprise de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.


Schroedinger’s Pet(ya)

Kaspersky Lab solutions successfully stop the attack through the System Watcher component. This technology protects against ransomware attacks by monitoring system changes and rolling back any potentially destructive actions.

At this time, our telemetry indicates more than 2,000 attacks: .../..


Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin


New ransomware, old techniques: Petya adds worm capabilities


01/07/1/ - Alert (TA17-181A) Petya Ransomware


mardi 13 juin 2017

Cycle de vie des produits #Kaspersky Entreprise ( Mai 2017 )

  1. Kaspersky Antivirus for Workstation/Server 6.0.4.1611 (MP4) ne bénéficie plus des mises à jour étendues depuis le 1er Juin 2017
  2. Kaspersky Endpoint Security 10.2.2.10535mr1 est en support limité* depuis le 1er Juin 2017
  3. Kaspersky Security for Exchange 9.3.54.0 est en support limité* depuis le 17 Mai 2017
  4. Kaspersky Security for Virtualization Agent Less 3.0.0.92 n'est plus supporté depuis le 24 Mai 2017
  5. Kaspersky Security for Virtualization Light Agent 3.2.99.5024 ne sera plus supporté à partir du 16 Aout 2017
  6. Kaspersky Anti-Virus for Linux File Servers 8.0.3.297 sera en support limité* à partir du 1 Juillet 2017
  • Support limité (*) : Fin de correction des bugs

Pour plus d'informations sur le cycle de vie des produits, Cliquez ici.

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*