Sélection de la langue

Government of Canada / Gouvernement du Canada

Recherche

Avis aux lectrices et aux lecteurs

Cette publication ne répond pas actuellement aux normes Web du gouvernement du Canada. Les informations restent valables.

Alerte - Campagne de distribution du mineur de cryptomonnaie Adylkuzz

De : Centre canadien pour la cybersécurité

Numéro : AL17-007
Date : Le 18 mai 2017

Objet

La présente alerte a pour but d'attirer l'attention sur une campagne de distribution d'un mineur de cryptomonnaie et de fournir des directives ainsi que des conseils en matière d'atténuation à ce sujet.

Évaluation

Le CCRIC a pris connaissance d'une campagne de mineur de cryptomonnaie, appelée « Adylkuzz », dont la diffusion est similaire celle de la récente campagne de rançongiciel WannaCry. Des rapports de source ouverte indiquent que ce maliciel existait avant la campagne WannaCry et tire parti de l'exploitation EternalBlue ainsi que de la porte dérobée DoublePulsar comme moyens de diffusion. En général, elle installe le mineur de cryptomonnaie Adylkuzz. Il convient de noter que la porte dérobée DoublePulsar permet d'installer d'autres maliciels et non pas seulement celui-ci.

Parmi les symptômes de compromission, comptons la perte de l'accès à des ressources partagées Windows de même que la diminution potentielle du rendement de l'ordinateur et du serveur. En outre, les rapports de source ouverte indiquent que l'envergure de cette campagne est possiblement supérieure à celle de WannaCry ; elle toucherait des centaines de milliers d'ordinateurs et de serveurs dans le monde. Par conséquent, le CCRIC recommande fortement d'appliquer les correctifs pour le protocole SMB en vue d'empêcher toute exploitation ultérieure.

Mesures Recommandées

Le CCRIC recommande aux organismes de consulter les renseignements d'atténuation suivants et de les mettre en œuvre en fonction de leur environnement réseau.

  • Installer le correctif de Microsoft pour la vulnérabilité SMB MS17-010, daté du 14 mars 2017.
  • On a publié un nouveau correctif destiné à certaines anciennes plateformes Windows, disponible à l'adresse suivante :https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
  • S'il est impossible de l'installer, envisager de désactiver le protocole SMBv1 ou de bloquer les ports connexes sur les appareils connectés au réseau (ports UDP 137 et 138, ainsi que TCP 139 et 445). Consultez la page suivante afin d'obtenir des directives à ce sujet : https://support.microsoft.com/en-us/help/2696547
  • Bloquer les ports SMBv1 au périmètre du réseau afin d'empêcher les connexions Internet entrantes de systèmes hôtes infectés.
  • Bloquer les connexions SMBv1 sortantes au périmètre du réseau afin d'empêcher ses propres systèmes hôtes d'infecter d'autres réseaux externes.
  • S'assurer que les antivirus et les outils de protection des passerelles sont à jour.
  • La plupart des attaques de cette nature sont détectées par des utilisateurs diligents et bien informés. Le CCRIC recommande donc aux organisations d'informer leur personnel de la situation actuelle, notamment comment signaler au personnel de la sécurité de la TI tout courriel suspect ou inhabituel. Une révision des politiques et exigences ministérielles, ainsi qu'une formation ou sensibilisation à la sécurité, peut aider à atténuer ce risque.

Références :

 
Date de modification :
Signaler un problème ou une erreur sur cette page

Ce site est protégé par reCAPTCHA et les Règles de confidentialité et Conditions de service de Google s'appliquent.

Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :