Le 12 mai, la famille de ransomware WannaCryptor (WannaCry) a infecté des milliers d'ordinateurs dans le monde entier. En 24 heures, le nombre d'infections a atteint 185 000 machines dans plus de 100 pays.
L'attaque est particulièrement dangereuse pour les entreprises, car un seul employé infecté permet au ransomware de se répliquer sur l'ensemble du réseau, parfois même dans d'autres filiales ou pays, et ce sans aucune action de l'utilisateur. Le ransomware se comporte en effet à la manière d'un ver qui tire profit d'une vulnérabilité récemment découverte sur de nombreuses versions du système d'exploitation Windows, notamment les versions 2008, 2008 R2, 7 et 7 SP1.
Les attaques ont provoqué des perturbations majeures dans des hôpitaux, des entreprises de télécom et des sites industriels. Parmi les organisations les plus frappées, on retrouve par exemple le service national de santé (NHS) du Royaume-Uni.
Les ransomwares traditionnels restent à ce jour l'une des menaces les plus communes des petites et grandes entreprises du monde entier. S'ils se diffusent habituellement via les pièces jointes malveillantes, les failles des navigateurs ou les exploits de tierce partie, WannaCry exploite de manière automatique une vulnérabilité présente sur la plupart des versions de Windows.
Pourquoi est-il si dangereux ? Tout simplement car il permet à un attaquant à distance d'exécuter du code sur un ordinateur vulnérable et d'utiliser ce code pour installer le ransomware sans aucune action humaine ou locale. Ce comportement jamais vu jusqu'ici est l'outil idéal pour attaquer des environnements ou infrastructures spécifiques, tels que les serveurs exécutant une version vulnérable de Server Message Block (protocole SMB).
Nos technologies de machine-learning dernière génération et d'introspection de la mémoire ont permis à nos clients d'être protégés de WannaCry, le ransomware le plus agressif au monde à ce jour ET leur garantissent d'être également protégés contre la prochaine attaque de ce type.
Les clients des solutions Bitdefender GravityZone et Bitdefender Hypervisor Introspection ont été immédiatement protégés contre cette vague d'attaques et ne sont pas affectés par cette nouvelle famille de ransomwares, car nos produits détectent et interceptent à la fois le mécanisme d'entrée et toutes les variantes du ransomware WannaCry connues à ce jour.
Les modèles de machine learning de Bitdefender, disponibles dans toutes les versions de Bitdefender GravityZone, sont conçus spécialement pour contrer les attaques jusqu'alors inconnues, et ce, dès la phase de pré-exécution.
Pour cette vague d'attaques notamment, un modèle employant le machine learning au niveau du endpoint, développé dans les laboratoires de Bitdefender en 2013, a été capable de détecter et de bloquer cette variante de ransomware.
En outre, la technologie révolutionnaire Hypervisor Introspection de Bitdefender, unique sur le marché de la sécurité, est capable de protéger les serveurs virtuels contre le mécanisme d'entrée de ces attaques (l'exploit MS17-010, également connu sous le nom de EternalBlue).
Plus important encore, Bitdefender Hypervisor Introspection a été en mesure d'empêcher l'exploitation de la vulnérabilité bien avant qu'elle ne soit révélée et patchée par Microsoft.
Retrouvez ici une démonstration montrant comment Bitdefender Hypervisor Introspection peut contrer EternalBlue.