Face à Petya/GoldenEye, la recette anti-ransomware de Stormshield

Après le ransomware WannaCry, une variante du malware Petya ou de GoldenEye fait la une. Le programme se répand à grande vitesse depuis mardi 27 juin dans les systèmes et réseaux d’entreprises. En France, les groupes Saint Gobain, Auchan (pour sa filiale en Ukraine), BNP Paribas et Verallia ont confirmé avoir été touchés. D’autres pourraient suivre.

Les entreprises touchées devraient « confiner les zones infectées, en coupant les accès réseaux, pour éviter la propagation de l’infection », explique à ChannelBiz.fr Matthieu Bonenfant (en photo ci-contre), directeur marketing de Stormshield.

Il est également recommandé de « maintenir un système sain à partir des dernières sauvegardes, si les sauvegardes ont été correctement effectuées. Il est, en revanche, déconseiller de payer la rançon demandée, car payer ne ferait qu’alimenter un système mafieux basé sur les gains financiers que peut générer ce genre d’attaque ». Par ailleurs, un paiement ne garantit pas le déchiffrement de vos données.

Aux organisations qui pourraient encore être impactées, le fournisseur français de protection des réseaux d’entreprise préconise les actions suivantes :

5 mesures pour se prémunir

– S’assurer que les postes ont été sauvegardés intégralement (le ransomware chiffre l’ensemble du disque dur). Et ce, pour remettre en état les postes en cas d’infection avérée.
– Signaler à tous les utilisateurs de bien faire attention aux emails qui sont envoyés. Ils doivent redoubler de vigilance avant de cliquer sur un lien ou une pièce jointe, surtout si l’émetteur est inconnu. La primo-infection du malware (première infection d’une machine dans une entreprise) semblant provenir d’un courriel.
– Confirmer que les derniers correctifs Microsoft ont été installés. Car le malware utilise un mode de propagation automatique (mode vers). Un mode similaire utilisé par Wannacry lorsqu’il s’est introduit avec succès sur une machine.
– Vérifier que l’éditeur de la solution de protection du poste de travail a bien mis à jour sa base de signatures. Ou utiliser une technologie de nouvelle génération capable de bloquer ce genre de menace inconnue.
– Contrôler que les connexions liées aux protocoles de type Windows SMB (Server Message Block) sont bien bloquées sur le firewall de l’entreprise pour toutes les connexions provenant d’Internet. Et que ces flux sont autorisés uniquement lorsque c’est nécessaire. Lorsqu’un environnement est très critique, il est préférable de couper tous les accès à cet environnement, en attendant que les mesures citées précédemment soient réalisées.

Abandonner Windows pour Qubes OS ?

L’Agence nationale de la sécurité des systèmes d’information (Anssi) parle d’une « campagne de rançongiciels aux capacités de propagation multiple » à propos de Petya/GoldenEye. Et souligne, dans un bulletin d’alerte, que « toutes les versions de Windows semblent pouvoir être affectées dans la mesure où des outils d’administration classiques sont utilisés pour la latéralisation. Les serveurs ainsi que les postes de travail font donc partis du périmètre d’infection possible. » Un avis partagé par la filiale d’Airbus Defence and Space.

Que changerait à l’affaire l’utilisation étendue du chiffrement et d’un système d’exploitation comme Qubes OS ? « Certains ransomwares se basent sur les formats de fichiers (.doc, .xls, .pdf,…) pour cibler leur action malveillante. Dans ce cas, recourir au chiffrement de fichiers peut limiter l’impact d’une attaque. Car les fichiers chiffrés de manière légitime prennent souvent une autre extension et, de ce fait, échappent à l’action du malware. Mais, dans le cas d’un malware réalisant un chiffrement complet du disque, ce genre de mécanisme n’aura malheureusement pas d’effet. Les fichiers chiffrés par une solution légitime seront eux-mêmes surchiffrés par le malware et seront inaccessibles », prévient Matthieu Bonenfant.

Quant à « l’utilisation d’un système d’exploitation sur base de compartimentage comme Qubes OS, elle peut améliorer la situation. Mais ce type d’OS reste compliqué à déployer dans des entreprises habituées à travailler en environnement Windows », ajoute-t-il.

Lire également :

Les mesures de NES pour faire face au ransomware

Wannacry : former, le remède anti-ransomware de l’IT ?