Numéro : AL17-007
Date : Le 18 mai 2017
Objet
La présente alerte a pour but d'attirer l'attention sur une campagne de distribution d'un mineur de cryptomonnaie et de fournir des directives ainsi que des conseils en matière d'atténuation à ce sujet.
Évaluation
Le CCRIC a pris connaissance d'une campagne de mineur de cryptomonnaie, appelée « Adylkuzz », dont la diffusion est similaire celle de la récente campagne de rançongiciel WannaCry. Des rapports de source ouverte indiquent que ce maliciel existait avant la campagne WannaCry et tire parti de l'exploitation EternalBlue ainsi que de la porte dérobée DoublePulsar comme moyens de diffusion. En général, elle installe le mineur de cryptomonnaie Adylkuzz. Il convient de noter que la porte dérobée DoublePulsar permet d'installer d'autres maliciels et non pas seulement celui-ci.
Parmi les symptômes de compromission, comptons la perte de l'accès à des ressources partagées Windows de même que la diminution potentielle du rendement de l'ordinateur et du serveur. En outre, les rapports de source ouverte indiquent que l'envergure de cette campagne est possiblement supérieure à celle de WannaCry ; elle toucherait des centaines de milliers d'ordinateurs et de serveurs dans le monde. Par conséquent, le CCRIC recommande fortement d'appliquer les correctifs pour le protocole SMB en vue d'empêcher toute exploitation ultérieure.
Mesures Recommandées
Le CCRIC recommande aux organismes de consulter les renseignements d'atténuation suivants et de les mettre en œuvre en fonction de leur environnement réseau.
- Installer le correctif de Microsoft pour la vulnérabilité SMB MS17-010, daté du 14 mars 2017.
- On a publié un nouveau correctif destiné à certaines anciennes plateformes Windows, disponible à l'adresse suivante :https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
- S'il est impossible de l'installer, envisager de désactiver le protocole SMBv1 ou de bloquer les ports connexes sur les appareils connectés au réseau (ports UDP 137 et 138, ainsi que TCP 139 et 445). Consultez la page suivante afin d'obtenir des directives à ce sujet : https://support.microsoft.com/en-us/help/2696547
- Bloquer les ports SMBv1 au périmètre du réseau afin d'empêcher les connexions Internet entrantes de systèmes hôtes infectés.
- Bloquer les connexions SMBv1 sortantes au périmètre du réseau afin d'empêcher ses propres systèmes hôtes d'infecter d'autres réseaux externes.
- S'assurer que les antivirus et les outils de protection des passerelles sont à jour.
- La plupart des attaques de cette nature sont détectées par des utilisateurs diligents et bien informés. Le CCRIC recommande donc aux organisations d'informer leur personnel de la situation actuelle, notamment comment signaler au personnel de la sécurité de la TI tout courriel suspect ou inhabituel. Une révision des politiques et exigences ministérielles, ainsi qu'une formation ou sensibilisation à la sécurité, peut aider à atténuer ce risque.
Références :
-
Proofpoint : Le maliciel de minage de cryptomonnaie Adylkuzz distribué pendant des semaines par le biais de la vulnérabilité EternalBlue et de DoublePulsar https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
- Une menace plus importante que WannaCry, le mineur de cryptomonnaie Adylkuzz, maintenant sur Internet http://itincanadaonline.ca/index.php/security/2158-adylkuzz-cryptominer-is-worse-than-wannacry-now-on-the-loose
- Date de modification :