L’attaque WannaCry : décryptage
et premiers enseignements
Gerome BILLOIS
gerome.billois@wavestone.fr
(+33) 6 10 99 00 60
@gbillois
© WAVESTONE 2
Source : NY Times & MalwareTechBlog -2017
une attaqueWannacry FULGURANTE
© WAVESTONE 3
Source : NY Times & MalwareTechBlog -2017
une attaqueWannacry FULGURANTE
© WAVESTONE 4
ATTAQUE
sansprécédent
Une
© WAVESTONE 4
© WAVESTONE 5
Ques’est-ilpassé ? Une attaque fulgurante mais une fin rapide
5© WAVESTONE
Vendredi 12mai
Début de l’attaque
Samedi 13mai
Les entreprises appliquent
les correctifs en urgence
Découverte du killswitch par
un jeune chercheur en
cybersécurité britannique
Dimanche 14mai
Sortie des nouvelles
versions WannaCry durant
le week-end
Lundi 15mai
Forte inquiétude mais
propagation limitée suite
aux efforts entrepris
Le killswitch: un coup de chance et une grande interrogation
Il a été trouvé accidentellement par le
jeune chercheur, qui a eu l’idée d’acheter, pour
quelques dollars, en voyant dans le code un
nom de domaine qui n’était pas bloqué
Les nouvelles versions du malware comportaient
un autre killswitch exactement de la même
nature, c’est-à-dire désactivableen achetant
simplement un autre nom de domaine
© WAVESTONE 6
Communication
•En interne : informer tous les
collaborateurs et préparer le
retour du lundi
•Pas d’obligation légale de
communication externe
Retour d’expérience d’une infection
WannaCry dans une entreprise
Intervention du CERT-W en urgence dans la
filiale espagnole d’un client via son assurance cyber
•Réception de l’alerte vendredi à 16h30
•Mobilisation d’une cellule de crise à 17h30
•Pilotage à distance des équipes locales pour limiter la
propagation pendant une bonne partie de la nuit
•Déplacement sur site d’une équipe de 2 personnes dès le
samedi matin pour apporter de l’expertise et coordoner les
équipes locales
Limitation de la
propagation
•Renforcement du cloisonnement
entre le réseau des postes de
travail et celui des serveurs
•Mise à jour de Windows pour
contrer la faille identifiée comme
à l’origine de l’attaque
•Rehaussement des murailles
numériques : mise à jour des
pare-feux, sondes anti-intrusions
et anti-virus
Réparation
•Effacement des disques
durs des ordinateurs
infectés (les données
étaient sauvegardées sur
un autre serveur)
•Isolation des PC touchés :
ordinateurs testés hors
connexion, donc
manuellement, avec une
clé USB contenant un
programme de détection
de la menace
Des équipes engagées dans une course contre
la montre pour reprendre l’activité au plus vite
3axes d’action :
6© WAVESTONE
© WAVESTONE 7
Ces outilsont été volés
par le groupe
Shadow Brokers
qui les a ensuite mis à disposition
sur Internet en avril
Pourquoi
une attaque siEFFICACE?
Le code d’attaque s’appuie sur une
vulnérabilité découverte par la NSA,
dénommée «Eternal Blue».
L’agence utilisait en effet cette vulnérabilité lui
permettant d’accéder simplementet à distance à
des PC sous Windows dans le cadre ses activités
de surveillance.
© WAVESTONE 8
… mais une situation de plus
en plus floue
De prime abord, des
motivations financières…
Sa nature même de ransomwarelaisse supposer des motivations
financières.
Jusqu’à présent, il a collecté 112 000$.
Quel objectif avec
WANNACRY ?
Mais plusieurs éléments laissent place à l’incertitude :
Une somme moindre que les ransomwares classiques : presque 1
milliard de dollars auront ainsi été récoltés avec des ransomwares en 2016
(source : FBI)
Un moyen de diffusion différent : une propagation rapide, qui ne passe
pas inaperçue
Un code malveillant pas complètement fonctionnel:
⁄Extrême difficulté pour identifier les personnes ayant payé
⁄Présence d’un arrêt d’urgence maintenu à jour
© WAVESTONE 9
Qui est
DERRIÈRE WannaCry ?
L’investigation est en cours, et il est beaucoup trop tôt pour avoir des certitudes.
Toutefois de premières attributions basées sur des informations techniques pointent certains groupes, et
notamment Lazarus.
⁄Groupe vraisemblablement lié à la Corée du Nord
⁄Soupçonné d’être à l’origine d’attaques marquantes de ces dernières années
•Bank of Bangladesh : vol de 81 M$ grâce à une attaque avancée sur les systèmes de paiements
•Sony Pictures : destruction massive du système d’information avec une indisponibilité de 8 semaines
2 caractérisques qui se retrouvent dans l’attaque WannaCry :
Pas de crainte de détruire L’appât du gain
Mais le groupe opère usuellement de manière plus discrète avec un niveau d’expertise plus élevé
© WAVESTONE 10
malheureusement
Et ce n’est
PAS FINI…
© WAVESTONE 10
Adylkuzz
Uiwix
Déjà plusieurs malwares
s’appuient sur la même
vulnérabilité que WannaCry…
Eternal Rocks
© WAVESTONE 11
OMNIPRÉSENCE DES
SYSTÈMES
WINDOWS
Création une vulnérabilité
systémique
Une attaque visant
exclusivement des systèmes
Windows
Une attaque montrant la
des systèmes d’information
FRAGILITÉ
INVESTISSEMENTS A
REPRIORISER
Un arbitrage pas toujours
optimal entre technologies
innovantes et «hygiène»
classiques mais
indispensables
FORTE
INTERCONNEXION
Wannacry s’est
exclusivement propagé par
des flux réseaux, sans action
nécessaire de la part des
utilisateurs
© WAVESTONE 12
Des
encore négligés
BASIQUES SÉCURITÉ
Notamment la gestion des correctifs, qui n’est pas toujours simple :
-Difficulté d’interruption de l’activité
-Systèmes embarqués de manière non visible, non accessible simplement ou dont
le fournisseur a déposé le bilan
-Rigueur et suivi pour détecter le non fonctionnement des systèmes de mise à jour
Les mesures compensatoires sont complexes : isolation des réseaux, gestion des
tiers…
Des basiques oui,mais qui nécessitent :
Un réel investissement
Une rigueur dans l’application
Un appui managérial au bon niveau
© WAVESTONE 13© WAVESTONE 13
QuellePOSTURE
adopter ?
S’en remettre aux dieux de
la cybersécurité…
© WAVESTONE 14© WAVESTONE 14
QuellePOSTURE
1
Organiser sagestion de criseet
développer une cyber résilience2
Réfléchir à la cyber assurance3
S’assurer de l’application des
bases de la cyber sécurité, en
particulier sur l’application des
correctifs de sécurité
adopter ?
© WAVESTONE 15© WAVESTONE 15
Et face aux
RANSOMWARES ?
4
Avoir des sauvegardeset les
tester régulièrement, une autre
des règles d’hygiène de base5
Ne paspayer la rançon, car les
données ne sont fréquemment pas
récupérées, et que cela développe
l’économie de la cybercriminalité
6
En cas d’attaque réussie, ne
pas hésiter à visiter le site
NoMoreRansom
© WAVESTONE 16
Une
pour mobiliser sur le sujet de la
OPPORTUNITÉ
cybersécurité
Une alerte franche et claire, et la
démonstration de la fragilité de
nos systèmes
POURQUOIQUEL COUT
Prise de conscience Réflexes sécurité Responsabilisation
Pas de «conséquences majeures» finalement, mais il est primordial de se préparer à d’autres crises du même
type, de portée mondiale et capable de paralyser les activités d’entreprises ainsi que d’acteurs étatiques.
Sensibiliser et encourager la
mobilisation du top management
Une nécessité de respecter les
«règles d’hygiène» de base en
cybersécurité
© WAVESTONE 17
aura largement marqué les
consciences dans le grand
public et les entreprises
WANNACRY
Une chose est sûre,
© WAVESTONE 18
Gerome BILLOIS
gerome.billois@wavestone.fr
(+33) 6 10 99 00 60
@gbillois
PARIS
LONDON
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
BRUSSELS
LUXEMBOURG
GENEVA
CASABLANCA
LYON
MARSEILLE
NANTES
* Partenaires stratégiques
L'attaque WannaCry : décryptage et premiers enseignements - Mai 2017
L'attaque WannaCry : décryptage et premiers enseignements - Mai 2017