Une cyberattaque massive a frappé des ordinateurs partout dans le monde. Le rançongiciel autoréplicatif hautement virulent - connu sous le nom de WanaCryptor, Wannacry ou Wcry - s'est en partie approprié un exploit de la National Security Agency (NSA) publié dans la nature le mois dernier par un groupe de piratage connu sous le nom de The Shadow Brokers.
Le ransomware aurait infecté au moins 100 000 ordinateurs, selon les développeurs d'antivirus, Avast. L'attaque massive visait principalement la Russie, l'Ukraine et Taïwan, mais s'est propagée aux principales institutions d'au moins 99 autres pays. En plus d'exiger 300 $ (environ 0,17 Bitcoin au moment de la rédaction), l'infection se distingue également par son approche multilingue pour sécuriser la rançon :le logiciel malveillant prend en charge plus de deux douzaines de langues.
WanaCryptor provoque des perturbations massives, presque sans précédent. Le rançongiciel affecte les banques, les hôpitaux, les télécommunications, les services publics d'électricité et d'autres infrastructures critiques.
Rien qu'au Royaume-Uni, au moins 40 fiducies du NHS (National Health Service) ont déclaré des urgences, forçant l'annulation d'opérations chirurgicales importantes, ainsi que compromettant la sûreté et la sécurité des patients et entraînant presque certainement des décès.
WanaCryptor est apparu pour la première fois en février 2017. La version initiale du ransomware a remplacé les extensions de fichiers concernées par ".WNCRY" et a marqué chaque fichier avec la chaîne "WANACRY !"
WanaCryptor 2.0 se répand rapidement entre les ordinateurs à l'aide d'un exploit associé à Equation Group, un collectif de piratage étroitement associé à la NSA (et dont on dit qu'il s'agit de leur unité de piratage "sale" interne). Le chercheur en sécurité respecté, Kafeine, a confirmé que l'exploit connu sous le nom d'ETERNALBLUE ou MS17-010 était susceptible d'avoir figuré dans la version mise à jour.
Cette épidémie de ransomware est différente de ce que vous avez peut-être déjà vu (et j'espère, pas connu). WanaCryptor 2.0 combine l'exploit SMB (Server Message Block, un protocole de partage de fichiers réseau Windows) divulgué avec une charge utile auto-répliquante permettant au ransomware de se propager d'une machine vulnérable à l'autre. Ce ver de rançon supprime la méthode de diffusion habituelle des rançongiciels d'un e-mail, d'un lien ou d'une autre action infectés.
Adam Kujawa, chercheur chez Malwarebytes, a déclaré à Ars Technica "Le vecteur d'infection initial est quelque chose que nous essayons toujours de découvrir... Considérant que cette attaque semble ciblée, cela pourrait être dû soit à une vulnérabilité dans les défenses du réseau, soit à un très bon -attaque de spear phishing. Quoi qu'il en soit, elle se propage à travers les réseaux infectés en utilisant la vulnérabilité EternalBlue, infectant d'autres systèmes non corrigés."
WanaCryptor exploite également DOUBLEPULSAR, un autre exploit de la NSA divulgué. Il s'agit d'une porte dérobée utilisée pour injecter et exécuter du code malveillant à distance. L'infection recherche les hôtes précédemment infectés par la porte dérobée et, lorsqu'elle est trouvée, utilise la fonctionnalité existante pour installer WanaCryptor. Dans les cas où le système hôte n'a pas de porte dérobée DOUBLEPULSAR existante, le logiciel malveillant revient à l'exploit ETERNALBLUE SMB.
La fuite massive des outils de piratage de la NSA a fait les gros titres dans le monde entier. Il existe des preuves immédiates et inégalées que la NSA collecte et stocke des exploits zero-day inédits pour son propre usage. Cela pose un énorme risque de sécurité, comme nous l'avons vu.
Fortuitement, Microsoft a corrigé l'exploit Eternalblue en mars avant que l'énorme trésor d'exploit de qualité militaire des Shadow Brokers ne fasse la une des journaux. Compte tenu de la nature de l'attaque, du fait que nous savons que cet exploit spécifique est en jeu et de la nature rapide de l'infection, il semblerait qu'un grand nombre d'organisations n'aient pas réussi à installer la mise à jour critique, plus de deux mois après sa sortie.
En fin de compte, les organisations concernées voudront jouer le jeu du blâme. Mais où le doigt doit-il pointer ? Dans ce cas, il y a suffisamment de reproches à partager :la NSA pour avoir stocké de dangereux exploits zero-day, les malfaiteurs qui ont mis à jour WanaCryptor avec les exploits divulgués, les nombreuses organisations qui ont ignoré une mise à jour de sécurité critique et d'autres organisations qui utilisent encore Windows XP.
Le fait que des personnes soient décédées parce que les organisations ont trouvé le fardeau de la mise à niveau de leur système d'exploitation principal est tout simplement effrayant.
Microsoft a immédiatement publié une mise à jour de sécurité critique pour Windows Server 2003, Windows 8 et Windows XP.
WanaCryptor 2.0 s'est répandu comme une traînée de poudre. Dans un sens, les personnes extérieures à l'industrie de la sécurité avaient oublié la propagation rapide d'un ver et la panique qu'il peut provoquer. À cette époque hyper-connectée, et combinés aux crypto-ransomwares, les fournisseurs de logiciels malveillants étaient sur un terrifiant gagnant.
Êtes-vous à risque? Heureusement, avant que les États-Unis ne se réveillent et ne commencent leur journée informatique, le MalwareTechBlog a trouvé un kill-switch caché dans le code du malware, limitant la propagation de l'infection.
Le kill-switch impliquait un très long nom de domaine absurde -- iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -- auquel le logiciel malveillant fait une demande.
Si la demande revient en direct (c'est-à-dire accepte la demande), le logiciel malveillant n'infecte pas la machine. Malheureusement, cela n'aide pas les personnes déjà infectées. Le chercheur en sécurité derrière MalwareTechBlog a enregistré l'adresse pour suivre les nouvelles infections via leurs demandes, sans se rendre compte qu'il s'agissait du kill switch d'urgence.
Malheureusement, il est possible que d'autres variantes du ransomware existent, chacune avec son propre kill-switch (ou pas du tout, selon le cas).
La vulnérabilité peut également être atténuée en désactivant SMBv1. Microsoft fournit un didacticiel complet sur la façon de procéder pour Windows et Windows Server. Sous Windows 10, cela peut être rapidement réalisé en appuyant sur la touche Windows + X , en sélectionnant PowerShell (Admin) , et en collant le code suivant :
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol SMB1 est un ancien protocole. Les versions plus récentes ne sont pas vulnérables à la variante WanaCryptor 2.0.
De plus, si votre système s'est mis à jour normalement, vous êtes peu probable ressentir les effets directs de cette infection particulière. Cela dit, si vous avez eu un rendez-vous NHS annulé, un paiement bancaire qui a mal tourné ou un colis vital qui n'est pas arrivé, vous avez été affecté, quoi qu'il en soit.
Et bon sang, un exploit corrigé ne fait pas toujours le travail. Conficker, quelqu'un ?
Au Royaume-Uni, WanaCryptor 2.0 a été initialement décrit comme une attaque directe contre le NHS. Cela a été actualisé. Mais le problème demeure que des centaines de milliers de personnes ont été directement perturbées par des logiciels malveillants.
Le logiciel malveillant porte les caractéristiques d'une attaque aux conséquences dramatiquement inattendues. L'expert en cybersécurité, le Dr Afzal Ashraf, a déclaré à la BBC qu'"ils ont probablement attaqué une petite entreprise en supposant qu'ils recevraient une petite somme d'argent, mais cela est entré dans le système NHS et maintenant ils ont le plein pouvoir de l'État contre eux - parce qu'évidemment, le gouvernement ne peut pas se permettre que ce genre de chose se produise et réussisse."
Ce n'est pas seulement le NHS, bien sûr. En Espagne, El Mundo signalent que 85 % des ordinateurs de Telefonica ont été affectés par le ver. Fedex a confirmé qu'ils avaient été touchés, ainsi que Portugal Telecom et le russe MegaFon. Et cela sans tenir compte des principaux fournisseurs d'infrastructures.
Deux adresses bitcoin créées (ici et ici) pour recevoir des rançons contiennent désormais un total combiné de 9,21 BTC (environ 16 000 USD au moment de la rédaction) à partir de 42 transactions. Cela dit, et corroborant la théorie des "conséquences involontaires", il y a le manque d'identification du système fourni avec les paiements Bitcoin.
Alors que se passe-t-il ensuite ? Le processus de nettoyage commence et les organisations concernées comptent leurs pertes, à la fois financières et basées sur les données. De plus, les organisations concernées examineront longuement et attentivement leurs pratiques de sécurité et - j'espère vraiment, vraiment - les mettront à jour, laissant derrière elles le système d'exploitation Windows XP désuet et désormais dangereux.
Nous espérons.
Avez-vous été directement affecté par WanaCryptor 2.0 ? Vous avez perdu des données ou vous avez eu un rendez-vous annulé ? Pensez-vous que les gouvernements devraient forcer les infrastructures critiques à se mettre à niveau ? Faites-nous part de vos expériences WanaCryptor 2.0 ci-dessous et partagez-nous si nous vous avons aidé.
Crédit d'image :Tout ce que je fais via Shutterstock.com