Une nouvelle campagne de Ransomware utilisant Eternalblue affecte des systèmes Microsoft Windows d’Ukraine mais aussi de France [1] ce mardi 27 juin.
Visiblement il utilise les mêmes vulnérabilités corrigées dans le patch MS17-010 de Microsoft. Seuls les systèmes n’ayant pas appliqués les correctifs et exposés sur Internet (TCP Port 445) [2] peuvent être spontanément contaminés. Quid d’une pièce jointe à un e-mail ou un lien malveillant qui peuvent être aussi un autre vecteur de contamination.
Sur les systèmes ne pouvant pas être patchés, il est indispensable que ces machines soient isolées d’Internet et ne puisse pas être atteintes par des machines disposant d’un accès Internet.
L’ANSSI a émis une alerte pour cette nouvelle cyberattaque [3] ainsi que le CERT-FR [4].
Le CERT-FR recommande :
- l’application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation);
- le respect des recommandations génériques relatives aux rançongiciels (cf. section Documentation);
- de limiter l’exposition du service SMB, en particulier sur internet ;
- de ne pas payer la rançon.