Après l'état de choc, l'heure est au questionnement... Petrwrap n'aurait jamais dû avoir cette ampleur... Jérôme Saiz, expert du Cercle des Assises de la Sécurité relève des points importants :
Comment se fait-il que celle-ci n'ait pas été identifiée et corrigée sur les systèmes internes vulnérables après WannaCry ? Ces entreprises n'ont-elles fait que bloquer sur leur périmètre extérieur le protocole utilisé par cette vulnérabilité au moment de WannaCry, sans corriger pour autant les machines elles-mêmes ? Si c'est le cas, ça ne peut être qu'une mesure d'urgence qui aurait dû être suivie d'une correction des systèmes concernés. On peut imaginer que, pour une partie des victimes actuelles, nous sommes dans les effets pervers du "provisoire qui dure".
Cependant ce malware semble aussi utiliser un second vecteur de propagation différent de WannaCry. Il exploite notamment WMIC (Windows Management Instrumentation Commandline) en récupérant des identifiants sur la machine locale via Mimikatz, pour se propager sur le réseau local grâce à l'outil de gestion à distance PsExec. Cela pourrait expliquer une grande partie des nouvelles infections, mais pose alors de nouvelles questions : comment un code malveillant peut-il obtenir aussi facilement les droits nécessaires à ce type d'action hautement sensible, sur un poste de travail censé être contrôlé ?
En définitive ce qu'il faut retenir c'est que même si WannaCry aurait dû être un cas d'école pour les entreprises et les inciter à renforcer leurs protections à la fois techniques et comportementales, cela ne semble pas avoir été le cas partout. Les hackers, en revanche, apprennent constamment de leurs succès comme de leurs échecs, et travaillent sans cesse à améliorer leurs outils, en s'inspirant du travail d'autres membres de leur communauté, afin de mener des attaques toujours plus rentables."
Auteur : Jérôme Saiz, expert du Cercle des Assises de la Sécurité.
Sur le même sujet :
