Se protéger du ransomware MESPINOZA

Image par Pete Linforth de Pixabay

Le virus MESPINOZA sévit en France provoquant le chaos dans les systèmes informatiques touchés.

Il a dernièrement paralysé les systèmes informatiques de la ville de Marseille durant plusieurs mois. ( voir le lien ci-après)

https://www.lepoint.fr/societe/marseille-et-sa-metropole-affectees-depuis-un-mois-par-une-cyberattaque-10-04-2020-2370894_23.php

C’est pourquoi, l’ANSSI a rédigé un rapport sur ce rançongiciel nommé « MESPINOSA/PYSA »

Phase de reconnaissance :

  • Attaque « brute force » sur les comptes Active Directory et sur les consoles de supervision.
  • Récupération des mots de passe
  • Connexions RDP usurpés sur les contrôleurs de domaine.
  • Utilisation des script batch, powershell et de l’outil PsExec

Phase de désactivation des outils de sécurité :

  • Désactivation des antivirus
  • Désinstallation de Windows Defender
  • Suppression des points de restaurations systèmes

Ceci montre la capacité du virus à désarmer les défenses de l’ordinateur.

Fichiers exécutables

Les processus identifiés sont svchost.exe dans le répertoire c:\windows\temp et un fichier d’archive python nommée 17535.pyz qui semble aléatoire.

NomSHA-256Taille
svchost.exe4770A0447EBC83A36E590DA8D01FF4A418D58221C1F44D21F433AAF18FAD5A99504.5Ko
17535.pyz661B5D6C8692BD64D2922D7CE4641E5DE86D70F5D8D10AB82E831A5D7005ACB279.59Ko
Fichiers exécutables

Comment s’en protéger ?

D’abord, effectuer régulièrement les mises à jour de sécurité des systèmes.

Ce virus exploite les failles Windows suivantes :

MS08-067Windows 7 à Server 2012 R2https://docs.microsoft.com/fr-fr/security-updates/securitybulletins/2008/ms08-067
MS14-068Windows 7 à Server 2012 R2https://docs.microsoft.com/fr-fr/security-updates/securitybulletins/2014/ms14-068
MS17-010Windows 8 à Server 2012 R2https://docs.microsoft.com/fr-fr/security-updates/securitybulletins/2017/ms17-010
CVE-2019-0708Windows 7 à Server 2008 R2https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0708
Tableau des failles et systèmes impactées

Ensuite, effectuer des sauvegarde journalières

  • Sauvegarde sur bandes que l’on met dans un coffre
  • Externaliser une copie des sauvegarde
  • Réaliser des tests de restauration

Puis, appliquer si possible, une restriction sur les ports suivants :

135Administration à distance
139Session Netbios
445Partage de fichiers
3389Bureau Distant (RDP)
5585
Liste des ports exploités par le virus.

Pour du support utilisateur interne préférez Microsoft Remote Assistance (msra.exe) dans la mesure du possible, il est intégré de base dans Windows. Les applications comme VNC ne sont pas sécurisés

Par ailleurs, utilisez un compte administrateur nominatif pour chaque personne en charge de la gestion du SI. Effectivement, cela permet tracer les actions dans les logs.

En conclusion, continuez de protéger vos systèmes en appliquant les bonnes pratiques de base. Équipez vous de solutions de sécurités robustes, sans négliger la sauvegarde de vos informations.

Source : https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-002/

crédit : Image par Pete Linforth de Pixabay

Laisser un commentaire

Résoudre : *
13 × 29 =