AlertesCampagne de rançongiciel TFlower

Numéro : AL19-201
Date : 20 septembre 2019

Objet

Le 30 juillet 2019, un nouveau type de rançongiciel nommé « TFlower » a été découvert. Depuis, le Centre pour la cybersécurité s’est penché sur ce rançongiciel qui touche déjà le public canadien.

Évaluation

Le principal vecteur d'infection initial de ce maliciel semble se manifester au niveau des services de Bureau à distance (Remote Desktop). Toutefois, il ne faut pas exclure les pourriels et les fichiers joints malveillants, les téléchargements trompeurs, les réseaux de zombies, les publicités malveillantes, les injections Web, les fausses mises à jour ainsi que les installateurs trafiqués et infectés. Dès lors qu'il est parvenu à infecter un système, l'auteur malveillant tente d'effectuer quelques déplacements latéraux dans le réseau, grâce à des outils comme PowerShell Empire ou PSExec.

Le maliciel entre d'abord en communication avec un serveur de commande et de contrôle (C2) pour indiquer qu'il est prêt à chiffrer les contenus du système ciblé. Ensuite, il supprime les copies des clichés instantanés (Shadow Copy) et désactive les fonctionnalités de récupération de Windows 10, puis il crée une forme de persistance en ajoutant une clé dans la ruche de registre des logiciels de l'utilisateur connecté au réseau. C'est à ce moment qu'il chiffre les fichiers et les étiquette en insérant la chaîne de caractères « *tflower » au début des fichiers sans changer les noms de fichiers

En dernier lieu, le maliciel met à jour le serveur C2 puis laisse un message de rançon dont le nom de fichier est « !_Notice_!.txt » et dont de nombreux exemplaires sont placés en divers endroits de l'ordinateur, y compris sur le bureau de Windows.

Le Centre pour la cybersécurité recommande au responsables de systèmes d'installer les plus récents correctifs dans les plus brefs délais. Il tient également à rappeler à ces responsables de système de demeurer vigilants lorsqu'ils décident de suivre des liens non sollicités ou d'ouvrir des fichiers joints inattendus dans les courriels, et ce, même lorsque l'envoyeur est connu.

Mesures recommandées

  • Installez les plus récentes mises à jour des systèmes d’exploitation vulnérables.
  • Désactivez les services du Bureau à distance si vous n’en avez pas besoin. S'il y a lieu, surveillez les activités suspectes du trafic réseau et consultez les journaux des systèmes vulnérables.
  • Activez l’authentification au niveau du réseau (NLA pour Network Level Authentication) sur toutes les versions prises en charge de Windows. Il s’agit là d’une atténuation partielle qui empêchera la propagation du maliciel. Lorsque l’authentification NLA est activée, un attaquant doit d’abord s’authentifier à l’aide d’un compte valide sur le système ciblé.
  • Bloquez le port TCP 3389 sur le coupe-feu, dans la mesure du possible. Cette mesure empêchera tout accès non autorisé provenant d’Internet.
  • N’ouvrez jamais les pièces jointes de sources inconnues ou non vérifiées.
  • Appliquez les contrôles d'architecture pour la séparation des réseaux.
  • Tenez une liste blanche des applications de façon à empêcher les autres applications de s'exécuter.
  • Utilisez des antivirus et veillez à ce qu'ils soient promptement mis à jour/à niveau.
  • Réduisez le nombre d’utilisateurs ayant des privilèges d’administrateur et veillez à ce que les utilisateurs ne disposent pas des droits d’installation de logiciels sur leurs dispositifs, sauf si un administrateur en a décidé autrement.
  • Désactivez les macros pour les documents reçus par courriel.
  • En dernière analyse, il est évident que tous doivent suivre les conseils que le gouvernement du Canada a formulés pour garantir la cybersécurité https://www.getcybersafe.gc.ca/index-fr.aspx

Références

Alerte du CCC concernant une vulnérabilité critique du Bureau à distance : https: //cyber.gc.ca/fr/avis/vulnerabilite-critique-du-bureau-distance-de-microsoft

Note aux Lecteurs

Le Centre canadien pour la cybersécurité (CCC) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert, et coordonne les communications d’information et l’intervention en cas d’incidents. Le CCC est tourné vers l’extérieur et accueille les partenariats visant à créer un cyberespace canadien fort et résilient.

Dernière mise à jour: