ZAVENTEM – 14 juin 2019 – Check Point Research, la division Analyse des menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), important fournisseur international de solutions de cyber-sécurité, a publié une nouvelle édition de son Indice international des Menaces pour le mois de mai 2019. L’équipe Recherches conseille aux entreprises et organisations de vérifier leurs systèmes et d’appliquer un correctif à ceux qui seraient vulnérables à la faille RDP “BlueKeep” (CVE-2019-0708) qui touche les systèmes tournant sous Windows 7 et Windows Server 2008 de Microsoft. L’application d’un correctif est nécessaire pour éviter un risque d’exploitation par des attaques par rançongiciels et crypto-minage.

La faille BlueKeep concerne près d’un million de systèmes accessibles via l’Internet public et un nombre encore bien supérieur d’ordinateurs déployés dans les réseaux des entreprises. Cette vulnérabilité est de nature critique dans la mesure où elle peut être exploitée sans qu’aucune interaction avec l’utilisateur ne soit nécessaire. Le RDP (remote desktop protocol) est un vecteur d’attaque avéré, fréquemment utilisé pour installer des rançongiciels tels que Samsam et Dharma. L’équipe de Check Point Research fait état de nombreuses tentatives de repérage de cette faille, émanant de différents pays à travers le monde, qui pourraient correspondre à l’étape de reconnaissance préliminaire à une attaque. En plus des correctifs proposés par Microsoft, Check Point propose des protections pour réseau et point d’accès permettant de se protéger contre une telle attaque.

« Bluekeep est la principale menace que nous ayons détectée au cours du mois écoulé », déclare Maya Horowitz, directrice Threat Intelligence and Research chez Check Point. « Même si nous n’avons encore détecté aucune attaque qui l’exploite, plusieurs exploits sous forme de démonstrateurs publics ont d’ores et déjà été développés. Nous estimons, tout comme Microsoft et d’autres observateurs du domaine de la cyber-sécurité, que cette faille pourrait être exploitée pour lancer des cyber-attaques d’une ampleur similaire aux campagnes massives WannaCry et NotPetya qui avaient déferlé en 2017. Un seul ordinateur présentant cette faille peut être utilisé pour distribuer un contenu malveillant qui infecterait un réseau tout entier. A partir de là, tous les ordinateurs contaminés disposant d’un accès à Internet pourraient infecter d’autres équipements vulnérables à travers le monde - permettant à l’attaque de se répandre de manière exponentielle, à un rythme impossible à endiguer. Il est donc essentiel que les entreprises se protègent - elles-mêmes et les autres - en appliquant un correctif anti-faille dès à présent, avant qu’il ne soit trop tard. »

Autre information importante sur le front des maliciels au mois de mai: l’annonce faite, le dernier jour du mois, par les développeurs du programme d'affiliation Ransomware-as-a-Service de GandCrab qu’ils arrêtaient leurs activités, demandant aux abonnés d’arrêter de diffuser le rançongiciel dans les 20 jours qui suivaient. Cette opération était en cours depuis janvier 2018 et avait contaminé 50.000 cibles en l’espace d’à peine deux mois. On estime que les gains engrangés par ses développeurs et ses affidés totalisent plusieurs milliards de dollars. Habitué du classement Top 10 Most Wanted Index, GandCrab était régulièrement réactualisé, héritant de nouvelles fonctionnalités destinées à esquiver les outils de détection.