Attaque informatique massive

Bonjour

Vous l'avez sans doute lu, une attaque informatique majeure à eu lieu il y a quelques heures:

http://www.rtl.be/info/monde/international/une-attaque-informatique-massive-frappe-le-monde-entier-voici-en-quoi-consiste-le-piratage-appele-wannacry--917362.aspx

https://www.francebleu.fr/infos/economie-social/des-sites-de-renault-l-arret-apres-une-vague-de-cyberattaques-mondiales-1494670529

Parmi les "victimes" : Renault, Fedex et surtout des hôpitaux anglais et le système ferroviaire allemand.

Une enquête internationale va être lancée pour trouver l'origine de cette attaque, qui à eu lieu en 2 vagues distinctes.
A voir quelles seront les conséquences (économiques et bilan humain) et surtout si il y aura d'autres vagues.

Ton deuxième lien n'a rien à voir avec l'attaque actuelle, mais fait référence aux attaques ddos de l'automne dernier. A ce propos, cedexis qui héberge plusieurs médias français a subi le même genre d'attaque ddos cette semaine.

Au temps pour moi. Le bon lien était celui ci : 
http://mobile.lemonde.fr/international/article/2017/05/13/une-cyberattaque-massive-bloque-des-ordinateurs-dans-des-dizaines-de-pays_5127158_3210.html?xtref=acc_dir

J'ai enlevé le lien obsolète.

Un musée parisien a pris l'attaque en pleine face, selon mes sources. Samedi tous les systèmes sont tombés en rade, dont les ascenseurs. Et 24h après la situation est encore tendue et tous les téléphones sont encore HS.

Cyberattaque mondiale: plus de 200.000 victimes, crainte d'un "cyberchaos"

la crainte d'un "cyberchaos" alors que les experts redoutent une recrudescence du virus lundi lorsque des millions d'ordinateurs seront rallumés.


Le service public de santé britannique (NHS, 1,7 million de salariés) semble avoir été l'une des principales victimes avec 48 établissements touchés, dont plusieurs ont été obligés d'annuler ou de reporter des interventions médicales.


Source : https://www.romandie.com/news/795711.rom

MAJ des informations concernant ce ransomware :

http://www.huffingtonpost.fr/2017/05/15/cyberattaque-microsoft-met-en-cause-la-nsa-et-veut-une-convent_a_22086836/?ncid=fcbklnkfrhpmg00000001

Crainte d'une réplique et de consequences plus lourde par Europol
http://www.huffingtonpost.fr/2017/05/14/attaque-informatique-europol-craint-un-bilan-beaucoup-plus-lour_a_22085982/

Microsoft demande une "convention de geneve du numérique"
https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/#sm.0001bw3x59oa0dw6yar1w67nfzcq0

http://www.20minutes.fr/high-tech/2068607-20170515-cyberattaque-mondiale-echec-juste-premier-test-systemes-defense

Théorie intéressante. Si ce n'est qu'un test, alors les effets d'un virus amélioré pourraient être vraiment dévastateurs.

Visuel des attaques en temps réel:

https://intel.malwaretech.com/WannaCrypt.html

Salut,
ce que révèle cette histoire, c'est la quantité de postes :
- ayant accès à des données critiques
- accessibles depuis le net, ou sur des sous-réseaux
- dont l'OS n'est pas à jour
- avec potentiellement aucun backup.

Accessoirement, qu'un sacré paquet d'entreprises tourne sous Windows...

Si, des backups il y en a en entreprise, le probleme est qu'ils sont automatiques et connectés au machines vérolées, et ce virus corromp aussi les backups, ca n'arrange rien.

Les ne comprendront jamais qu'un backup se fait sur un support deconnecté, mais la fainéantise de l'homme a tout vouloir automatiser....

Pas compliqué quand même de débrancher un disque dur externe une fois le backup fait!

Un lien de plus:

https://korben.info/wannacry-bien-pleurez.html

Salut

graffx a écrit:Si, des backups il y en a en entreprise, le probleme est qu'ils sont automatiques et connectés au machines vérolées, et ce virus corromp aussi les backups, ca n'arrange rien.
Les ne comprendront jamais qu'un backup se fait sur un support deconnecté, mais la fainéantise de l'homme a tout vouloir automatiser....

Yep, c'est pas sérieux, je parle d'un vrai backup multiversion, et contrôle des permissions. Online ou non, il y a des politiques de sécurité claires et simples à respecter; si on fait un simple rsync, effectivement on peut s'attendre à des dégâts.
J'ai rencontré des IT de labos qui partent le soir avec une copie des serveurs sur bande, avec une bande distincte par jour. C'est ainsi que j'ai connu la techno LTO...

Dans la société ou j'étais, il y aait une espece de lecteur de cassettes branché sur le serveur de la boite, il y avait une cassette par jour, marquées "lundi", "mardi", etc. En fait c'était des especes de disques durs que je ne connaissais pas, on avait pour ordre de mettre le soir avant de partir la cassette du jour et surtout de renmenner avec nous dans la voiture la cassette de la veille, c'était aussi simple que ça et la meilleure des choses à faire.  En cas de piratage la nuit, d'incendie ou autre, on avait le back up avec nous.

edit: Oups j'avais pas vu ta dernière phrase, ben voila, on faisait la même chose!

Bonjour

une seconde attaque serait en cours :

http://www.directioninformatique.com/cyberattaque-apres-wannacry-voici-adylkuzz/48833

http://www.leral.net/Une-autre-cyberattaque-de-grande-ampleur-en-cours_a201260.html#

"Bien que plus silencieuse et sans interface utilisateur, l'attaque d'Adylkuzz est plus rentable pour les cybercriminels. Elle transforme les utilisateurs infectés en participants involontaires au financement de leurs assaillants"
l'attaque pourrait remonter au 2 mai, voire au 24 avril et est toujours en cours

Nouvel outbreak sur une variante de Petya, basé lui aussi sur la même faille que Wannacry (EternalBlue)

https://www.scmagazineuk.com/breaking-petya-variant-at-heart-of-new-global-ransomware-campaign/article/671366/

http://www.lefigaro.fr/secteur/high-tech/2017/06/27/32001-20170627ARTFIG00256-de-grandes-entreprises-dont-saint-gobain-en-france-victimes-d-une-importante-cyberattaque.php

Je viens de le voir aussi

Ça par contre, c'est très inquiétant :

http://www.20minutes.fr/monde/2100751-20170707-etats-unis-societes-gerant-centrales-nucleaires-visees-cyberattaques

Bonsoir

Selon la société informatique Check point, une attaque massive Ddos via des objets connectés serait en préparation

http://www.capital.fr/entreprises-marches/des-hackers-levent-une-armee-dobjets-connectes-pour-une-cyberattaque-mondiale-1254018

https://research.checkpoint.com/new-iot-botnet-storm-coming/

Le gouvernement Allemand victime d'une cyber attaque d'envergure


https://mobile.francetvinfo.fr/monde/europe/allemagne/allemagne-le-gouvernement-victime-d-une-cyberattaque-inedite_2635444.amp

La ville de Baltimore serait paralysée par une cyber attaque :

https://ici.radio-canada.ca/nouvelle/1171419/baltimore-rancongiciel-bitcoin-robbinhood-piratage

Depuis plus de deux semaines, la Ville de Baltimore, aux États-Unis, est prise en otage à la suite d'une attaque par un rançongiciel. Le maire de la ville, Bernard Young, refuse de payer la rançon exigée, mais il n'exclut pas de changer d'avis face à la paralysie qui frappe le système informatique municipal.

Pour information, les rançonwares n'ont pas de solution préventive (aucun antivirus standard ne les arrête).
Seuls certains antivirus en cloud qui font du sandboxing(*) arrivent à en bloquer la plupart.
La seule parade réellement efficace, et celle mise en place dans une immense majorité des entreprises, est de s'assurer d'avoir des sauvegardes fréquentes et fiables. Ainsi, en cas de corruption, il suffit d'effacer les fichiers touchés et de restaurer une sauvegarde fiable.
Les administrateurs systèmes s’appuient soit sur l'utilisateur pour remonter les cas de corruptions, soit via des rôles de serveurs de fichiers qui savent analyser les modifications pour déterminer si elles sont humaines ou non (rôle FSRM sur Windows Server par exemple).
J'ai moi même subis dans mon entreprise plusieurs attaques (une petite dizaine) qui n'ont jamais eu la moindre conséquence car on a réussi à chaque fois à stopper l’ordinateur infecté rapidement puis à restaurer les fichiers cryptés.
J'avais remarqué à cette occasion qu'un "bon" rançonware est capable de crypter 30 à 40 fichiers par minute, autant dire que la rapidité de réaction est cruciale. Leur moteur cherche en priorité à crypter les documents (Word, Excel, PDF), certains plus rares cryptent aussi les photos. Le choix se fait par l’extension, donc si vous zipper vos documents importants puis que vous renommer l'extension en .oldu par exemple, vous avez de fortes chances de ne pas perdre vos documents en cas d'infection.

Tout ça pour dire que je suis ébahis qu'une ville comme Baltimore se retrouve paralysé, car ça veut dire que leur système informatique est fortement défaillant. Non seulement ils ont mis du temps à découvrir la chose, mais en plus ça veut dire qu'ils n'ont pas de sauvegarde ... c'est sidérant, surtout aujourd’hui.
Il y a des rançonwares qui s'attaquent à VMWare (environnement de virtualisation de serveurs) et c'est apparemment ce qui leur arrive, mais même pour ça, la parade de la sauvegarde est la meilleure. 

En résumé, faites des sauvegardes régulièrement (au rythme de vos modifications importantes) sur un disque dur externe rangé dans un placard (et non branché en permanence au  PC)

(*) sandboxing = utilisation d'un bac à sable. L'antivirus ouvre le fichier dans un environnement virtuel créé pour l'occasion (le bac à sable) et analyse son comportement. S'il est suspect, le fichier est bloqué.

Jeff01 a écrit:
Il y a des rançonwares qui s'attaquent à VMWare (environnement de virtualisation de serveurs) et c'est apparemment ce qui leur arrive, mais même pour ça, la parade de la sauvegarde est la meilleure.

Tiens, je connais pas ça. Si tu as 2 ou 3 infos.... En général on ne configure pas d'accès direct aux SAN contenant les fichiers Vms, je ne vois pas comment une machine infectée peut y accéder.

Les premiers cas remontent un peu : 2015 -> https://www.it-connect.fr/vmware-un-ransomware-sattaque-a-vos-datastores/ ou ici http://blogmotion.fr/systeme/vmware-rancon-13843
Il y a depuis quelques saloperies qui tournent exploitant HearthBleed, Meltdown, Spectre, ...,  et même depuis quelques jours une version sur ZombieLoad aurait été aperçue.
La technique est la même à chaque fois : taper directement l'ESX ou le vCenter pour aller crypter les .vmdk
Ça reste confidentiel mais présent, en effet une entreprise avec ses datastores cryptés est beaucoup plus encline à verser la rançon (perte d'exploitation).

Ok, je vois, ça me rappelle quelque chose en effet. Merci.

Accessoirement, les ransomwares comme celui utilisé à Baltimore s'appuyant sur un outil développé par la NSA (Baltimore paralysée par un virus informatique en partie créé par la NSA) utilisent des failles de Windows et tablent sur le fait que les entreprises négligent les mises à jour... Mises à jour depuis longtemps proposées par Microsoft.