Partagez !
FacebookTwitterGoogle BookmarksLinkedinRSS Feed
 

Analyse des attaques des ransomware Wannacry & Jaff

18 mai 2017


Deux attaques informatiques inédites et indépendantes se sont propagées à l’échelle mondiale depuis jeudi 11 mai créant une vague de panique au sein des entreprises.

A 24h d’intervalle, ce sont deux attaques de ransomware de tailles significatives qui ont frappées les entreprises dans le monde entier avec des modes de propagation très différents mais qui ont souvent été confondues..


Largement relayé par la presse depuis vendredi, le premier, Wannacry a déjà touché près de 210 000 machines dans 99 pays. La seconde attaque, véhiculée plus classiquement par email, est une attaque du ransomware Jaff, une nouvelle variante du célèbre Locky.

Promatec est revendeur de la solution de sécurité VadeSecure; notre partenaire analyse ces deux attaques vous permettant de mieux comprendre.


Ransomware Jaff

 

Le filtre VadeSecure a stoppé 633 920 attaques du ransomware appelé « Jaff » en 48h au niveau mondial.

 

Quelle est la méthode de propagation ?

Le vecteur de propagation de ce ransomware Jaff est l’email.

Comment fonctionne le ransomware Jaff ?

Ce ransomware utilise un fichier au format « DOCM » lui-même intégré dans un fichier au format PDF.

À l’ouverture du fichier .docm, un fichier macro télécharge la charge malicieuse et commence le chiffrement de la machine infectée.

À noter que la conception de ce ransomware est très similaire à celle du ransomware Locky.

 

 

Votre anti-spam Vade Secure à la carte

Disponible en mode Mutualisé / en Serveur VPS (serveur virtuel)
 

Ransomware Wannacry

 

Suite à l’analyse des équipes VadeSecure, nous affirmons que contrairement à ce qui a été diffusé, rien ne permet aujourd’hui de définir avec certitude que le vecteur de propagation de la première vague du ransomware Wannacry est l’email, mais plutôt une faille du protocole SMB Windows dans version v1.

Une confusion a pu être établie entre l’attaque simultanée du ransomware « Wannacry » et du ransomware « Jaff ».

Voici une synthèse du fonctionnement de ce ransomware.


Historique :

Le 14 Avril 2017, le groupe de pirates informatiques « Shadow Brokers » a divulgué une liste d’outils d’espionnage informatique appartenant à l’entité « The Equation Group » proche du département de la NSA.

Ces outils ont pour fonction de cibler les infrastructures bancaires et plus précisément les systèmes d’exploitation Microsoft Windows de la version Microsoft Windows XP à Microsoft Windows 8 ainsi que les versions « Microsoft Server » utilisées par les entreprises.


Méthode de propagation :

Ce ransomware se propage au travers d’une faille du protocole de partage SMB v1 (Server Message Block) non patchée au moment de l’attaque. Microsoft a depuis publié des correctifs pour les versions Windows Server et Windows Desktop.


Qu’est-ce que le protocole SMB ?

Le protocole SMB est un protocole de partage de ressources, permettant de partager des imprimantes ou des fichiers sur un réseau. Il est massivement utilisé par les entreprises de nos jours ce qui explique la forte propagation de cette attaque.


Comment se comporte ce ransomware ?

1. Le ransomware se propage dans un premier temps par la mise en place d’une porte dérobée (Module appelé Doublepulsar) grâce à la faille divulguée.

2. Dans un second temps ce ransomware va rechercher les machines vulnérables sur le réseau interne de la machine infectée (module appelé Eternalblue) propagent ainsi son attaque sur d’autres machines par le même procédé.

3. Pour finir ce ransomware va ensuite chercher les espaces de stockages tels que : C:, D:/.

Puis chiffrer les fichiers utilisant l’une de ces extensions :

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Suite à l’infection, une demande de rançon en bitcoin d’une valeur de 300$ est demandée.

Trois adresses sont présentes dans le code du ransomware :

  • https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  • https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Le volume de paiement reçu au Dimanche 14 mai 2017 – 20:30 est de 20,17 Bitcoins soit environ 32 732 € pour une centaine de transactions.

Des centres de contrôles de l’attaque ont également été identifiés sur des noeuds du réseau tor :

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Quel est l’impact de cette attaque ?

Cette attaque aurait infecté 209,653 machines dans 99 pays.

Des hôpitaux, universités, infrastructures de transports, distributeurs de billets ont été victimes de cette attaque.

Dans le monde le transporteur Fedex aux États-Unis, le système de santé britannique NHS ou l’opérateur espagnol Téléfonica ont été touchés.

En France l’usine Renault de Sandouville est mise à l’arrêt le temps de reprendre le contrôle des outils de production.

De nombreuses variantes se diffusent depuis quelques heures sur les réseaux.

Comment se protéger de cette attaque ?

 



Plus d'infos : https://www.[...]anti-spam-vade-secure

Dernières publications

Publication de Debian 9 "Stretch"

Publié le 20-06-2017

Debian 9 Stretch

Après 26 mois de développement, le projet Debian est fier d'annoncer sa nouvelle version stable n° 9 (nom de code "Stretch"), qui sera gérée...

> Lire la suite

Analyse des ransomware Wannacry et Jaff

Publié le 17-05-2017

Deux attaques informatiques inédites et indépendantes se sont propagées à l’échelle mondiale depuis...

> Lire la suite

Promatec distributeur CodeTwo Exchange Rules

Publié le 15-03-2017

Promatec devient distributeur privilégié de CodeTwo Exchange Rules et CodeTwo Email Signatures pour Office 365

> Lire la suite

HP : Annonce de sécurité 2017

Publié le 31-01-2017

Extension du programme de rappel de sécurité et de remplacement des batteries d’ordinateurs portables HP de juin 2016 &n...

> Lire la suite

DC Promatec Update Debian 8.7

Publié le 16-01-2017

Suite à la publication de la mise à jour de Debian 8.7, Promatec procède aux updates de ses serveurs

> Lire la suite

Microsoft Exchange hébergé chez Promatec

Publié le 01-12-2016

Hébergement Microsoft Exchange par Promatec

> Lire la suite

Prévention Cryptolocker, Ransomware…

Publié le 27-10-2016

Cryptolocker, Ransomware… Promatec vous accompagne pour contrer la menace.

> Lire la suite

Technologie laser Vidéoprojecteur

Publié le 12-10-2016

Vidéo projecteur nouvelle génération Laser Technologie

> Lire la suite
Suivez-nous !
PROMATEC SSII Lille
PROMATEC SSII ZA Ravennes Les Francs 1 Avenue Henri Becquerel 59 910 BONDUES - FRANCE - +33(0)3 20 70 76 79
Société de services et d'ingénierie informatique | Maintenance, infogérance, cloud et sécurité informatique
© 1996-2017 PROMATEC SSII LILLE - Mentions légales & Informations sur l'utilisation des cookies | Conditions générales de vente