Re: WannaCry "ransomware" cyber attack :

To: "debian-user-french@lists.debian.org French" <debian-user-french@lists.debian.org>
Subject: Re: WannaCry "ransomware" cyber attack :
From: "Ph. Gras" <ph.gras@worldonline.fr>
Date: Tue, 16 May 2017 11:08:10 +0200
Message-id: <[🔎] E4ECD890-1DE9-40CB-A33E-B1CED2D53073@worldonline.fr>
In-reply-to: <[🔎] 663B09E0-CA2A-4F17-AB9D-B51476044711@gmail.com>
References: <[🔎] 99C742B1-0CC9-4BC0-BDFE-4557C09546BC@worldonline.fr> <[🔎] 201705151712.55596.andre_debian@numericable.fr> <[🔎] 700D5857-B6D4-4073-ADBC-259A47A19C69@worldonline.fr> <[🔎] 201705151753.15381.andre_debian@numericable.fr> <[🔎] 8e6cf2c7473bda0ae734db6703586acd@free.fr> <[🔎] CAHZRFdnfgKcf7UMR8R9=1nukROGrVeTnAaJXcN4db1CNjOH7qA@mail.gmail.com> <[🔎] 73acd31b840e4f755f5d6f4b06ee6ddf@free.fr> <[🔎] 663B09E0-CA2A-4F17-AB9D-B51476044711@gmail.com>

Bonjour,

> Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord.
> 
> Ça semble aller dans cette direction : http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956

Ce genre d'attaques, avec de telles particularités, sont d'expérience souvent en lien avec l'actualité des
questions géopolitiques.

Elles ont un caractère soudain, et sont réalisées avec de gros moyens mais avec peu de précision dans
le ciblage…

Quand c'est mon serveur ou une de ses activités qui sont visés, c'est beaucoup plus opiniâtre et ciblé.

> 
> Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, j'aimerais moi aussi voir ces logs si possible, dans un but didactique.

Il n'y a rien de spécial dans les logs, sauf que les requêtes suspectes viennent de partout sauf de France.

Parallèlement à un pic d'attaques par dictionnaire venant principalement de Chine, j'ai observé un pic de
messages sur une liste de discussion, venant de non abonnés issus de tous les pays de la planète, sauf
de France (où se trouvent ses . Le message était en anglais avec un lien dedans.

Rien de particulier donc, dans les logs. Il m'a été impossible d'identifier un motif particulier dans ces mails
qui m'aurait permis de créer un filtre dans fail2ban.

Mais 2 jours plus tard, ça s'était déjà calmé…

Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) paraît confirmer le caractère
géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 2, la seconde crapuleuse en se
cachant derrière la première…

Bien à vous,

Ph. Gras

Reply to:

Follow-Ups:
- Re: WannaCry "ransomware" cyber attack :
  - From: aishen <aishen@free.fr>

References:
- WannaCry "ransomware" cyber attack :
  - From: "Ph. Gras" <ph.gras@worldonline.fr>
- Re: WannaCry "ransomware" cyber attack :
  - From: andre_debian@numericable.fr
- Re: WannaCry "ransomware" cyber attack :
  - From: "Ph. Gras" <ph.gras@worldonline.fr>
- Re: WannaCry "ransomware" cyber attack :
  - From: andre_debian@numericable.fr
- Re: WannaCry "ransomware" cyber attack :
  - From: Stéphane Aulery <lkppo@free.fr>
- Re: WannaCry "ransomware" cyber attack :
  - From: Eric Degenetais <edegenetais@henix.fr>
- Re: WannaCry "ransomware" cyber attack :
  - From: Stéphane Aulery <lkppo@free.fr>
- Re: WannaCry "ransomware" cyber attack :
  - From: Thierry Bugier Pineau <bugier.t@gmail.com>

Prev by Date: Re: WannaCry "ransomware" cyber attack :
Next by Date: Re: WannaCry "ransomware" cyber attack :
Previous by thread: Re: WannaCry "ransomware" cyber attack :
Next by thread: Re: WannaCry "ransomware" cyber attack :
Index(es):
- Date
- Thread