Depuis ANDORSOFT et avec le soutien de notre partenaire technologique ZEED SECURITY, nous tenons à exprimer notre solidarité avec les milliers d'entreprises de plus de 150 pays infectées par le rançongiciel WannaCry ces derniers jours. Nous espérons que le problème sera rapidement résolu.
Ci-dessous, nous détaillons l’origine et le processus que cette cyberattaque a utilisé pour sa propagation rapide.
L'origine de l'attaque était liée à une vulnérabilité de MS Office, vulnérabilité publiée le 14/03 et ses mesures correctives.
D'autres exploits liés aux systèmes défensifs périmétriques (Firewall, Antivirus, Email Certifié...) auraient également été exécutés par manque de maintenance sur ceux-ci et auraient « ouvert les portes » à l'exposition des appareils.
Une fois les appareils infectés, les ransomwares peuvent se propager librement sur le réseau en raison du manque de bonnes pratiques de santé informatique en laissant les protocoles SMB ouverts et non chiffrés.
* Server Message Block (SMB) est un protocole réseau qui permet de partager des fichiers, des imprimantes, etc., entre les nœuds d'un réseau informatique qui utilisent le système d'exploitation Microsoft Windows et, en utilisant une vulnérabilité d'exécution de commande à distance, est distribué au reste des machines Windows sur le même réseau.
En résumé, trois recommandations simples, présentes dans tous les audits EAIS – Zeedsecurity, qui, si elles étaient mises en œuvre correctement après la détection, auraient agi de manière préventive, contribuant à prévenir l’infection de l’appareil.
EAIS/EAES 24/7 est un excellent outil de surveillance quotidienne de la sécurité et de gestion des mesures correctives à mettre en œuvre.