Cyber-attaque en cours
- Ce sujet contient 23 réponses, 6 participants et a été mis à jour pour la dernière fois par
, le il y a 6 années et 9 mois.
-
Sujet
-
Salut à tous,
Il y aurait une cyber-attaque qui affecte surtout l'Ukraine et l'Europe selon la BBC
http://www.bbc.com/news/technology-40416611
A+
-
Re,
Je double-post, je sais B-)
Grace à ton alerte j'ai pu prendre les mesures préventives auprès de mes clients abonnés à la téléassistance, et je croise les doigts car tout se passe bien pour le moment.
Encore un grand merci pour la veille de sécurité.
En tout cas ces attaques et le battage médiatique auront eu le mérite d'alerter et éveiller les utilisateurs sur les bons gestes et précautions à avoir avec leur ordinateur.
merci!! merci!! merci!!
Bonjour
Je viens de voir que Microsoft préconise de désactiver le processus SMB1 sur Windows 10-8 et 7 .
Ce serait efficace contre wannacry ? ! qu'en est 'il pour cette nouvelle attaque ?
SMB1 est un protocole de partage d'imprimante et de fichier , donc il se peut que cela bloque sur certain réseau ( mais SMB1 serait obsolète !! ) par contre SMB2 et 3 ?
Qu'en pensez vous ?
Salut à tous,
Voici ce que j'avais dans la boîte courriel de mon FAI !
BitDefender qui saute sur l'opportunité suite au “ ransomware ” d'hier !
Le service de protection de mon FAI est en partenariat avec BitDefender, l'occasion était trop belle !
“ Marketing ”, “ Marketing ”, “ Marrrketing ” !
A+
Attachments:
Il y a au moins 5 entreprises en Belgique qui sont touchées aussi (dont TNT, qui n'a pas pu faire décoller ses avions ni livrer ses colis, ainsi qu'un transporteur maritime danois basé à Zeebruges).
On sait que cette nouvelle attaque utilise la même faille que Wannacrypt, mais pas que celle-là.
Elle utilise également d'autres moyens de diffusions.
Encore une fois, et même si je comprend bien le soucis que peut poser une upgrade de système en entreprise, surtout niveau production, je suis toujours aussi "choqué" de voir que certaines (et pas des petites!) n'ont toujours pas appliqué le correctif déployé il y a 2 mois, ni mis en place une politique plus stricte au niveau de l'ouverture des pièces jointes dans les mails.
Pour moi, au delà du profit escompté par ces attaques, j'y vois un préambule à quelque chose de plus gros à venir. Cette attaque a déjà permis de stopper l'alimentation en électricité dans quelques usines... Là aussi, ces systèmes sensibles étaient à la merci de tout ça... C'est affligeant!
Quelques infos en vrac:
- La détection et l'ajout aux base chez DrWeb: https://news.drweb.fr/show/?i=11349&c=5&lng=fr&p=0
- Leur recommandation face aux machines touchées par le ransomware: https://news.drweb.fr/show/?i=11350&c=5&lng=fr&p=0
Pour le reste, que ce soit la FCCU (Federal Computer Crime Unit, l'organisme de la police fédérale en charge de cette matière en Belgique), leurs homologues européens ou les sociétés de sécurité, ils en sont encore à l'analyse de l'impact et du ransomware pour en comprendre son fonctionnement complet.
- "Il ne savaient pas que c'était impossible, alors ils l'ont fait" - M.Twain
comme tu le dis si bien Darksky c'est à peine pensable que les services informatique de ces boites n'aient pas réagit, au moins par l'application des patchs et mises à jour du système.
Après peut-être que certains ont été bloqués par leur hiérarchie ("faut pas arrêter la prod !"), ou bien les tech ont préférés préserver leurs soirées et weekend pour les passer en famille (là ça sent la porte direct).
Le maillon faible dans tout cela c'est la personne qui ouvre le mail et sa pièce jointe : après pas toujours facile de faire un tri dans les dizaines/centaines de mails quotidiens, surtout dans les boites à l'internationale où toutes les langues sont utilisées
Dans les quelques boites où j'ai fais des infos sécurité j'en remarque qui ont les mêmes mauvaises habitudes.... Il y a du mieux toujours après la séance, mais les recommandations ne sont pas toujours suivies par certains, par inconscience ou tout simplement parce que "c'est plus simple comme cela".
C'est vrai.
Ceci-dit, mis à part pour quelques personnes, là où je bosse, tout ce qui est en .exe et autres formats courants comportant un risque, tout est supprimé quand ça arrive par mail. Il arrive parfois qu'un document nécessaire soit ainsi filtré, mais ça reste marginal par rapport aux bénéfices que ça apporte.
Un des 300PC de mon administration a été touché l'année passée par un ransomware. Heureusement, il ne s'est pas propagé et c'était l'utilisatrice en "faute", elle est passée outre les avertissements de l'antivirus (Eset) pour aller ouvrir une pièce jointe qui pointait sur Dropbox.
Depuis,, que ce soit dropbox ou les pièces jointes, y a plus moyen d'y accéder
Et c'est pareil pour pas mal d'autres sites d'ailleurs, le pare-feu ayant été changé au niveau du serveur.- "Il ne savaient pas que c'était impossible, alors ils l'ont fait" - M.Twain
Merci Christophe pour le lien
@ Darsky : l'utilisatrice (teur), le maillon faible, comme toujours
. T'as beau interdire, prévenir, mettre des messages en plein écran disant "non, touche pas p'tit con", il/elle ignorera et foncera tête baissée.... 
De nouvelles infos, à prendre au conditionnel toujours:
Petrwrap ne serait pas un ransomware, mais un "wiper". Son but n'est pas de chiffrer les données, et obtenir une rançon, mais bien d'effacer et rendre inopérants les systèmes.
Kaspersky ainsi que d'autres acteurs de la sécurité ont continué et continue d'analyser le code, et ils se sont aperçu que d'emblée, Petrwrap efface les 25 premiers blocs du disque, ce qui fait que les auteurs même du malware ne peuvent pas décrypter les données qui sont chiffrées par leur bestiole.
Il semble donc bel et bien que l'attaque avait (ait) pour but de paralyser des systèmes, et non en obtenir une rançon.
D'ailleurs, le fait que l'adresse mail des pirates apparaisse en clair (ce qui a permis de la neutraliser rapidement), que le porte feuille bitcoin des pirates soit unique (ce qui permet de les tracer rapidement) tant à prouver qu'ils se fichaient pas mal de la rançon, puisque tout a permis de bloquer cette rançon.
On est donc bien, visiblement, dans un autre type d'attaque, bien différente de wannacrypt, d'autant plus que tout était fait pour que Petrwrap se propage rapidement. Des explications de son fonctionnement et de sa méthode de propagation ici: https://news.drweb.fr/show/?i=11351&c=5&lng=fr&p=0
Bref, restez prudent, faite des copies de sauvegarde de vos données !, n'ouvrez pas n'importe quoi, faite des copies de sauvegarde de vos données !, mettez à jour vos systèmes d'exploitations, même les anciens (vista et XP) qui ont une mise à jour proposée tout exprès, faite des copies de sauvegarde de vos données !
P.S: à l'heure actuelle, et depuis quasi le début en fait de ce type de saloperies, seul Windows est fortement impacté... Les ransomware ciblent Windows, le système de fichiers NTFS, etc.. Il y a bien eu des tentatives sur GNU-Linux, mais c'était codé avec les pieds, ça a mis 2h aux experts pour trouver la clés, et au final y a pas grand chose qui atteint le système (gestion des droits différente, déjà). On est pas à l'abri, que ce soit clair, mais on est clairement plus tranquille sur GNU-Linux
- "Il ne savaient pas que c'était impossible, alors ils l'ont fait" - M.Twain
Pour info : le logiciel de mise à jour de pilote que j'ai présenté sur Le Garage du PC permet de vérifier et d'installer les 3 correctifs édités par Microsoft, comme vous pouvez le voir sur la capture mise en EDIT tout en bas (on en vois que 2 là, la capture ayant quelques semaines maintenant) : https://legaragedupc.fr/driverpack-solution-installeur-pilotes-performant-azamos/
Cela fonctionne pour toutes les édition de Windows, d'XP à Windows 10
- Vous devez être connecté pour répondre à ce sujet.