Une cyberattaque massive a frappé des ordinateurs à travers le monde. Le ransomware hautement virulent et auto-réplicatif, connu sous les noms de WannaCryptor, WannaCry ou WCry, a exploité une vulnérabilité de la NSA divulguée le mois précédent par le groupe de hackers The Shadow Brokers.
Selon les experts d'Avast, au moins 100 000 ordinateurs ont été infectés. L'attaque a principalement visé la Russie, l'Ukraine et Taïwan, mais s'est propagée dans au moins 99 autres pays, touchant des institutions majeures. Outre la rançon exigée de 300 $ (environ 0,17 Bitcoin à l'époque), le malware se distingue par son support multilingue couvrant plus de 25 langues.
WannaCry a causé des perturbations massives et inédites, affectant banques, hôpitaux, télécoms, services publics d'électricité et autres infrastructures critiques.
Au Royaume-Uni, plus de 40 établissements du NHS (National Health Service) ont déclaré l'urgence, entraînant l'annulation d'opérations chirurgicales vitales et compromettant la sécurité des patients, avec des décès probables.
WannaCryptor est apparu en février 2017. Sa version initiale remplaçait les extensions de fichiers par ".WNCRY" et ajoutait la chaîne "WANACRY !".
WannaCry 2.0 se propage via un exploit lié à l'Equation Group, associé à la NSA. Le chercheur Kafeine a confirmé l'utilisation d'ETERNALBLUE (MS17-010).
Cette épidémie diffère des ransomwares classiques : WannaCry 2.0 combine l'exploit SMB (Server Message Block) divulgué avec une charge auto-réplicative, se propageant sans e-mail ou lien infecté.
Adam Kujawa de Malwarebytes explique à Ars Technica : "Le vecteur initial reste à déterminer... L'attaque se propage via EternalBlue sur les réseaux infectés, touchant les systèmes non patchés."
WannaCry exploite aussi DOUBLEPULSAR, une backdoor NSA pour injecter du code à distance. Si présente, elle est utilisée ; sinon, EternalBlue est employé.
La fuite des outils NSA a exposé des risques majeurs dus au stockage d'exploits zero-day.
Microsoft avait patché EternalBlue en mars, avant la divulgation. Malgré cela, de nombreuses organisations n'ont pas appliqué la mise à jour, même deux mois après.
Les responsabilités sont partagées : NSA pour ses stockpiles, hackers pour l'adaptation, organisations pour l'inaction et l'usage de Windows XP obsolète.
Des décès dus à des systèmes non mis à jour soulignent l'urgence.
Microsoft a publié des patches pour Windows Server 2003, Windows 8 et XP.
WannaCry s'est propagé comme un ver, ravivant la menace des infections rapides.
Un kill-switch découvert par MalwareTechBlog a limité la propagation : le malware vérifie un domaine absurde (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Si enregistré, l'infection s'arrête.
Cela n'aide pas les déjà infectés, et des variantes sans kill-switch pourraient exister.
Atténuez en désactivant SMBv1. Sur Windows 10 : Windows + X, PowerShell (Admin), puis :
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocolSMBv1 est obsolète ; les versions récentes sont immunisées contre WannaCry 2.0.
Les systèmes à jour sont généralement protégés, mais les impacts indirects (NHS, banques) persistent.
Au Royaume-Uni, l'attaque a touché le NHS, mais dépasse ce cadre. En Espagne, 85 % des PC de Telefónica infectés ; FedEx, Portugal Telecom et MegaFon confirmés.
Les adresses Bitcoin ont reçu ~9,21 BTC (16 000 USD) de 42 paiements.
Les organisations nettoient, évaluent pertes et renforcent leur sécurité, abandonnant idéalement Windows XP.
Avez-vous été touché par WannaCry ? Partagez vos expériences et si cet article vous a aidé.
Crédit image : Tout ce que je fais via Shutterstock.com
[]