Avec la vague d’attaques au ransomware WannaCry, les experts en sécurité ont recommandé aux entreprises de faire attention aux correctifs qu’ils téléchargent sur Internet. « Ils exploitent vraiment les craintes de tous », a expliqué Adam Malone, directeur des enquêtes numériques de l’entreprise PwC basée à New York.
Il a rappelé que les vendeurs légitimes ne vont pas envoyer des alertes via des publications virales sur les réseaux sociaux. De plus, il a souligné que les correctifs ne nécessitent d’ordinaire pas de téléchargement : « Ils sont généralement fournis via le logiciel de mise à jour du fournisseur ». « Dans ce cas particulier, le correctif est fourni par Microsoft officiellement grâce à son service de mise à jour Windows ».
Pour obtenir le patch, tout ce que les utilisateurs doivent faire c’est lancer leur programme Windows Update.
De même, il a rappelé que les fournisseurs d'antivirus distribuent automatiquement les nouvelles signatures via des mises à jour logicielles : « Ils ne sont jamais distribués via un lien ou un message texte ou un site de réseautage social ».
Et dans les cas où un patch doit être téléchargé ou si les utilisateurs choisissent de faire une mise à jour manuelle, ils devraient être sûrs qu'ils se trouvent sur le site Web officiel du fournisseur et non sur un site tiers.
Par exemple, Microsoft a publié des liens de mises à jour à l’intention d’anciennes versions de son système d'exploitation, ainsi que sa Microsoft Malicious Software Removal Tool (MSRT) pour détecter et supprimer le malware WannaCrypt dans un billet de blog officiel. L’entreprise a prévenu que « Pour les clients qui exécutent Windows Update, l'outil détecte et supprime WannaCrypt et d'autres infections malveillantes répandues. Les clients peuvent également télécharger et exécuter manuellement l'outil en suivant les instructions. L'outil MSRT s'exécute sur tous les ordinateurs Windows pris en charge où les mises à jour automatiques sont activées, y compris celles qui ne fonctionnent pas avec d'autres produits de sécurité Microsoft ».
Certains fraudeurs vont même tenter de vendre des correctifs, a déclaré Cathie Brown, vice-présidente de la société de conseil en technologie Impact Makers inc. « Chaque fois qu'il y a une attaque à grande échelle ou une attaque de malware lancée, nous voyons émerger de faux correctifs », a-t-elle déclaré. « Tout comme le système de ransomware, il est facile de coder et de déployer un faux correctif - il peut rapidement devenir rentable ».
Aussi, même si cela peut sembler évident, elle recommande la prudence et le bon sens : « Aucune entreprise de sécurité ou d'informatique réputée ne va essayer de vendre des correctifs aux vulnérabilités des logiciels malveillants lorsque vous pouvez l'obtenir gratuitement par Microsoft », a-t-elle déclaré.
Damien Hugoo, directeur de la gestion de produits chez Easy Solutions, inc., a déclaré qu’il y a même eu des applications dans des magasins d'applications tierces offrant des correctifs à WannaCry. Pourtant, comme il l’a rappelé, « WannaCry n'affecte même pas les appareils mobiles ».
Les cybercriminels qui lancent des attaques de phishing utilisent également le nom « WannaCry » pour inciter les utilisateurs à cliquer sur des liens malveillants. Par exemple, au Royaume-Uni où le service national de santé a été touché par le virus, les utilisateurs ont reçu un courriel prétendant être de BT qui leur a demandé de cliquer sur un lien pour confirmer une mise à niveau de sécurité.
Un autre courriel a prétendu être issu de LogMeIn, inc., connu pour ses produits tels que GoToMeeting, GoToMyPC, LastPass et LogMeIn. Selon la publication du blog de l'entreprise, ce courriel a déclaré aux utilisateurs qu'ils étaient déjà infectés par WannaCry et qu'ils avaient besoin de mettre à jour leur logiciel LogMeIn en cliquant sur un lien qui semblait pointer vers le site officiel. L'adresse de retour affichait « LogMeIn.com Auto-Mailer » au niveau du nom, mais l’adresse de retour réelle était une chaîne de caractères aléatoires.
Une autre arnaque consiste à envoyer un message qui indique aux utilisateurs qu'ils sont infectés et leur demander de l'argent. Notons que, dans ces cas-là, les ordinateurs ne sont en réalité pas infectés ou les fichiers ne sont pas chiffrés. « Cela ne coûte pas grand-chose aux criminels de diffuser ce genre de messages », a déclaré Malone de PwC.
Source : blog TechNet, PwC, Impact Makers
Faites attention aux faux correctifs de WannaCry diffusés en ligne
Les chercheurs en sécurité recommandent la prudence et le bon sens
Faites attention aux faux correctifs de WannaCry diffusés en ligne
Les chercheurs en sécurité recommandent la prudence et le bon sens
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !