Cyberattaque mondiale, la barre des 200 000 victimes franchie – Ransomware WannaCry

4
319

Alerte FireEye sur la campagne de ransomware Wanna Decryptor qui vient d’affecter plusieurs organisations dont le National Health Service britannique. Déjà 200 000 victimes dans 150 pays sont recensées.

[Mise à jour] Le 12 mai 2017, une campagne de ransomware orchestrée par WannaCry très prolifique a touché les organisations à l’échelle mondiale, en particulier en Europe et au Moyen-Orient (EMEA). Les rapports initiaux indiquent que la prolifération du ransomware de WannaCry utilise une vulnérabilité SMB.

Guillaume Poupard, le directeur de l’ANSSI, a averti les français du danger ce matin sur France Inter en expliquant l’intérêt crucial des mises à jours des systèmes informatiques.

Europol craint que de nouveaux dégâts liés au rançongiciel surviennent lundi lorsque les entreprises rallumeront les ordinateurs fermés le week-end. Une enquête va être diligentée par une équipe ayant été désignée au sein de l’EC3, le centre de lutte contre la cybercriminalité au sein d’Europol. Seul moyen de se protéger efficacement contre cette e-menace montante, la mise à jour et l’application du dernier patch de sécurité que Microsoft s’est empressé de dévoiler. Téléchargez-le si ce n’est déjà fait et appliquez-le !

L’auteur du malware a déjà, à l’heure actuelle, empoché plus de 40 000 dollars en BTC via 158 transactions (pour celles connues tout du moins). Ce graphique montre l’évolution des transactions connues liées à WannaCry (les portefeuilles inconnus y sont absents donc les chiffres sont à augmenter dans la réalité).

« Aujourd’hui, beaucoup de nos clients à travers le monde et les systèmes critiques dont ils dépendent ont été victimes du logiciel malveillant “WannaCrypt“. “Voir les entreprises et les personnes touchées par les cyberattaques, comme celles rapportées aujourd’hui, était pénible. Aussi, Microsoft a travaillé tout au long de la journée pour nous assurer que nous avons compris l’attaque et pris toutes les mesures possibles pour protéger nos clients”, a expliqué vendredi dernier Phillip Misner, un gestionnaire principal du groupe de sécurité du Microsoft Security Response Center (MSRM).

« En outre, nous prenons l’étape très inhabituelle consistant à fournir une mise à jour de sécurité pour tous les clients afin de protéger les plateformes Windows qui sont uniquement en support personnalisé, y compris Windows XP, Windows 8 et Windows Server 2003. Les clients qui utilisent Windows 10 n’ont pas été ciblés par l’attaque aujourd’hui », a-t-il poursuivi.

En ce moment, certains chercheurs en sécurité étudient le code source du ransomware pour tenter de trouver un moyen d’atténuation. Une fonction “kill switch” a déjà été découverte et pourrait permettre de berner le malware dans certains cas via la création de faux noms de domaines dédiés… mai pour l’heure, l’infection continue de se propager massivement.

Plus de 150 pays, parmi lesquels figurent le Royaume-Uni, l’Espagne, le Portugal, et la Roumanie ont été la cible, vendredi, d’une importante vague de cyberattaques simultanées. Parmi les victimes de cette attaque de grande ampleur, le constructeur automobile français a également annoncé Renault avoir été également touché.

Compte tenu de la distribution rapide et prolifique de ce système de ransomware, John Miller – Manager Threat Intelligence chez FireEye, explique que cette activité pose des risques élevés pour toutes les organisations utilisant des machines Windows potentiellement vulnérables. Les organisations qui cherchent à prendre des mesures de gestion des risques liées à cette campagne peuvent implémenter un correctif pour le bulletin de sécurité Microsoft MS17-010 (ou ETERNALBLUE) et tirer parti des indicateurs de compromission identifiés comme associés à cette activité.

Jakub Kroustek, Threat Lab Team Lead chez Avast, a fait les commentaires suivants :

« Nous avons observé un pic massif d’attaques WanaCrypt0r 2.0 hier, avec plus de 36 000 détections à date. Nous avons notamment constaté que les attaques semblent avoir ciblé principalement la Russie, l’Ukraine et Taiwan.

Cette attaque démontre de nouveau que le ransomware est une arme puissante qui peut aussi bien être utilisée contre les consommateurs que les entreprises.

Nous avons récemment observé des souches majeures de ransomwares délivrées à travers des documents Offices malveillants contenant des macros envoyés par email, ainsi que via des kits d’exploitation. Si le ransomware infecte via la pièce-jointe de l’email, un document Office malveillant doit d’abord être ouvert et les macros activées afin de permettre au ransomware d’être téléchargé. Lorsqu’un ransomware infecte via une exploitation, en général un site malveillant est visité et un ordinateur avec une vulnérabilité Zero-Day est ensuite exploité pour l’infecter avec le dit ransomware.

L’impact financier de l’attaque sur Telefonica, le National Health Service (NHS) britannique ou encore Renault, pour ne citer qu’eux, devrait être significatif et dépasser la demande de rançon. Il ressort que 85 % des ordinateurs de l’opérateur ont été touchés, et Telefonica aurait demandé à ses employés d’éteindre leurs ordinateurs et de rentrer chez eux, ce qui devrait entrainer de sérieuses conséquences financières pour l’entreprise.

Telefonica et les autres victimes de cette attaque ne devraient pas mettre trop de temps à retirer le ransomware, mais s’ils n’ont pas sauvegardés récemment les données et fichiers des employés, ils risquent de mettre un peu de temps à s’en remettre, en particulier si ces fichiers ont été chiffrés par le ransomware. »

Le groupe exploitant le ransomware utilise une arme cybernétique exploitant des outils de cyberespionnage de la NSA, dont une partie de l’arsenal a été piraté (via Equation Group) et leaké par Shadow Brokers.

D’après Avast, le ransomware Wanna Decryptor a déjà infecté plus de 75 000 ordinateurs dans 99 pays à travers le monde (mais surtout en Russie). Il s’agit de la souche virale “WanaCrypt0r 2.0“. Tous les fichiers touchés et chiffrés par le malware portent l’extension supplémentaire “.WNCRY”. Le fond d’écran est aussi modifié :

Bien entendu, la rançon est exigée en Bitcoin. Ryan Kalember, expert cybersécurité Proofpoint a lui aussi régait à cette cyberattaque de grande ampleur :

“La nouvelle attaque au ransomware Wannacryptor, exploitant une importante vulnérabilité Microsoft dont le patch est disponible et qui aurait déjà dû être corrigée, s’est rapidement propagée à l’échelle mondiale. Il est inquiétant que cette attaque utilisant une méthode de propagation de type ‘’worm’’ se soit avérée si problématique pour de grandes organisations disposant d’infrastructures critiques pouvant avoir un impact sur la santé des individus. Nous sommes convaincus qu’il ne s’agissait que d’une question de temps avant qu’une attaque de ce type soit lancée, dans la mesure où les vulnérabilités de Microsoft représentaient une trop belle opportunité pour les cybercriminels de s’y engouffrer pour propager rapidement leur attaque ransomware et en tirer un bénéfice financier.

Selon notre analyse, et pour la première fois, de nouvelles formes de ransomware apparaissent désormais en moyenne une fois par jour. Au premier trimestre 2017, quatre fois plus de nouveaux ransomware qu’au quatrième trimestre 2016 sont apparus. Alors que cette nouvelle cyberattaque ne semble pas avoir eu autant de succès que des attaques ciblées de malware que nous observons régulièrement, les réseaux d’organisations mal protégées ont été sévèrement touchés car l’attaque se répercute sur tous les systèmes vulnérables du même réseau.

Si vous pensez avoir été infecté par un ransomware, n’éteignez pas votre ordinateur. Ne tentez pas de déchiffrer vos dossiers vous-mêmes et ne versez pas d’argent. Evitez également de connecter d’autres appareils – clés USB, disques de sauvegarde, téléphone – à votre ordinateur infecté pour tenter de récupérer vos fichiers. Confiez votre machine à un expert en sécurité informatique qui pourra récupérer vos données et vérifier qu’il n’y a pas d’autre malware dans l’ordinateur. Enfin, que vous soyez un particulier ou employé d’une entreprise touchée, vous devez rapporter l’incident à la gendarmerie ou au commissariat le plus proche. Votre entreprise doit normalement avoir un système de sauvegarde. La plupart des organisations ont déjà arrêté de payer des rançons, car même si elles sont infectées, elles pourront restaurer leurs systèmes.”

Les commentaires sont fermés.