Déclaration de Kaspersky Lab sur les attaques de ransomware « ExPetr » signalées le 27 juin

Les analystes de Kaspersky Lab étudient la nouvelle vague d’attaques de ransomware ciblant les organisations à travers le monde. Nos résultats préliminaires suggèrent qu’il ne s’agit pas d’une variante de Petya ransomware publiée, mais d’un nouveau système de ransomware qui n’a pas été vu auparavant. Bien qu’il ait plusieurs cordes semblables à Petya, il possède des fonctionnalités entièrement différentes. Nous l’avons nommé ExPetr.

Les données de télémétrie de l’entreprise indiquent jusqu’à 2000 environ 2 000 utilisateurs attaqués. Les organisations en Russie et en Ukraine sont les plus touchées et nous avons également enregistré des résultats en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France, aux États-Unis et dans plusieurs autres pays.

Cela semble être une attaque complexe, qui implique plusieurs vecteurs de compromis. Nous pouvons confirmer que les exploits EternalBlue et EternalRomance modifiés sont utilisés par les criminels pour la propagation au sein du réseau de l’entreprise.

Kaspersky Lab détecte la menace comme suit:

– UDS: DangerousObject.Multi.Generic

– Trojan-Ransom.Win32.ExPetr.a

– HEUR: Trojan-Ransom.Win32.ExPetr.gen

Notre moteur de détection de comportement SystemWatcher détecte la menace en tant que

– PDM: Trojan.Win32.Generic

– PDM: Exploit.Win32.Generic

Dans la plupart des cas, Kaspersky Lab a détecté de manière proactive le vecteur d’infection initial à travers son moteur comportemental, System Watcher. Nous travaillons également à l’amélioration de la détection anti-ransomware comportementale pour détecter de manière proactive les versions futures possibles.

Les experts de Kaspersky Lab continueront d’examiner le problème afin de déterminer s’il est possible de décrypter des données verrouillées dans l’attaque – dans le but de développer un outil de décryptage dès qu’elles le peuvent.

Nous conseillons à toutes les entreprises de mettre à jour leur logiciel Windows: les utilisateurs Windows XP et Windows 7 peuvent se protéger en installant un correctif de sécurité MS17-010.

Nous conseillons également à toutes les organisations de s’assurer qu’elles ont une sauvegarde. La sauvegarde appropriée et en temps opportun de vos données peut être utilisée pour restaurer les fichiers d’origine après un événement de perte de données.

Les clients corporatifs de Kaspersky Lab sont également invités à:

* Vérifier que tous les mécanismes de protection sont activés comme recommandé; Et que les composants KSN et System Watcher (qui sont activés par défaut) ne sont pas désactivés.

* En tant que mesure supplémentaire pour les clients d’entreprise, il faut utiliser le Contrôle des privilèges d’application pour refuser tout accès (et donc possibilité d’interaction ou d’exécution) pour tous les groupes d’applications au fichier avec le nom « perfc.dat » et l’utilitaire PSexec (partie de La Suite Sysinternals) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm et http://support.kaspersky.com/10905)

* Vous pouvez utiliser alternativement le contrôle de démarrage de l’application (https: //help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) composant Kaspersky Endpoint Security pour bloquer l’exécution de l’utilitaire PSExec (partie de la Suite Sysinternals), mais utilisez le contrôle Privilege d’application afin de Bloquez le « perfc.dat ».
* Configurez et activez le mode Défaut par défaut du composant Contrôle de démarrage de l’application de Kaspersky Endpoint Security pour assurer et faire respecter la défense proactive contre cette attaque et d’autres attaques.

Si vous n’avez pas les produits Kaspersky Lab sur votre appareil, utilisez la fonctionnalité AppLocker du système d’exploitation Windows pour désactiver l’exécution de tous les fichiers portant le nom « perfc.dat » ainsi que l’utilitaire PSExec à partir de Sysinternals Suite.

À propos de Kaspersky Lab Kaspersky Lab est une société mondiale de cybersécurité qui célèbre ses 20 ans d’existence en 2017. L’expertise en sécurité et en sécurité de la menace profonde de Kaspersky Lab se transforme en solutions et services de sécurité pour protéger les entreprises, les infrastructures essentielles, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de l’entreprise comprend une protection de pointe et un certain nombre de solutions et de services de sécurité spécialisés pour lutter contre les menaces numériques sophistiquées et évolutives. Plus de 400 millions d’utilisateurs sont protégés par les technologies Kaspersky Lab et nous aidons 270 000 clients d’entreprise à protéger ce qui leur importe le plus. En savoir plus sur www.kaspersky.co.za.

0 réponses

Répondre

Vous souhaitez vous joindre à la discussion ?
N'hésitez pas !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *