Ransomware WannaCrypt : « Les défenses périmétriques des entreprises ne suffisent plus »
L’attaque mondiale par ransomware WannaCrypt, qui a particulièrement touché les entreprises vendredi 12 mai, a exploité une faille de sécurité Windows, pourtant patchée par l’éditeur. Dans une tribune, Christophe Jolly, Directeur France de Vectra Networks, analyse l’attaque.
« Ce n’est pas la première fois que le système de santé publique du Royaume-Uni, le National Healthcare Service, est la cible de ransomware. Cette nouvelle attaque, par le ransomware WannaCry (connu depuis peu), semble être d’une toute autre envergure au point d’en faire probablement la plus importante attaque subie par l’infrastructure de santé britannique. Elle semble surtout avoir très bien fonctionné !
Nous parlons donc d’une attaque massive, puisque dans le même temps, Telefonica, l’un des principaux opérateurs télécoms espagnols qui est très présent en Europe et en Amérique du Sud, a également été victime du ransomware. La résonnance de cette attaque est donc internationale, et interroge sur le fait qu’il s’agisse d’une attaque ciblée (et contenue) sur quelques infrastructures ou bien une variante de ransomware « lâchée dans la nature » et qui commence à se propager largement et sans cibles précises, comme cela a été le cas avec Cryptolocker en 2013. Dans le deuxième cas, nous risquons de prendre connaissance très rapidement de nouveaux cas dans de nouveaux grands pays comme les Etats-Unis, la France, etc.
Les données des patients, une cible attirante pour les attaquants
La transition numérique engagée par le Royaume-Uni pour son système de santé publique peut toutefois expliquer que le NHS ait été l’une des premières cibles de l’attaque. Cette stratégie engagée incluant notamment de numériser toutes les données sur les patients, les hôpitaux britanniques représentent une cible très attirante pour les cybercriminels. L’utilisation de plus en plus importante d’appareils connectés peu protégés dans les hôpitaux du NHS n’a probablement pas aidé, car cela peut fournir des portes dérobées pour les pirates. Sans des défenses de sécurité robustes en place, les données sensibles des patients et les appareils médicaux connectés sont malheureusement des proies trop faciles pour les cybercriminels.
Dans ce type d’attaques par ransomware, il est essentiel d’être capable d’intervenir au début du cycle de l’attaque en identifiant et en comprenant l’activité malveillante dès ses prémices. Une telle approche permet de limiter l’impact avant que l’attaque ne devienne critique pour l’activité de l’entreprise. Être capable d’isoler les hôtes infectés connus et rapidement de les reconfigurer en tant qu’hôtes sains et connus peut permettre d’éviter de payer une rançon pour récupérer une machine.
Les défenses périmétriques ne suffisent plus
D’un point de vue technique et étant donné la rapidité et l’échelle de l’attaque, il semblerait que le ransomware soit entré au sein du NHS par une seule machine pour ensuite se propager latéralement dans le réseau en utilisant différentes formes d’exploits/scan. Des ransomwares de ce type ne nécessitent pas de signaux de contrôle-commande externes et rendent ainsi impuissantes les défenses périmétriques traditionnelles, qui ne peuvent pas les détecter et prévenir leur propagation.
L’exemple du NHS démontre que les défenses périmétriques ne suffisent plus. Grâce aux dernières technologies, telles que le machine learning et l’analyse comportementale, les entreprises peuvent automatiser le suivi des activités d’un hacker dans un réseau, avant qu’un ransomware n’affaiblisse le système. Se concentrer sur l’endroit et le process utilisé par le cybercriminel permet de gagner du temps et de réduire l’impact d’une attaque. Toute tentative ultérieure de prise de contrôle à distance d’un périphérique compromis sera également détectée en utilisant cette approche comportementale dans le cadre de la détection d’une attaque ».
Sélectionné pour vous
