vendredi 14 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Proofpoint : L'attaque WannaCry un an après

Proofpoint : L’attaque WannaCry un an après

Le 12 mai dernier, Wannacry fêtait son premier anniversaire. A l’origine de cette cyberattaque mondiale, le ranwsomware WannaCryp, qui une fois installé, bloquait l’accès aux fichiers sur les ordinateurs et exigeait une rançon (300 dollars) pour rendre sa liberté au système.

Comme d’habitude, c’est par une vaste campagne de phishing par e-mail que le ransomware s’est retrouvé dans de nombreux PC. Il s’est propagé à travers EternalBlue, un exploit dans les anciens systèmes Windows annoncé par The Shadow Brokers quelques mois avant l’attaque. Même si Microsoft a publié des correctifs pour stopper l’attaque, la grande partie la propagation de WannaCry est due au fait que les entreprises n’avaient pas appliqué ces correctifs ou utilisaient des systèmes Windows trop anciens. WannaCry a également profité de l’installation de backdoors sur les systèmes infectés.

L’attaque a été stoppée quelques jours après sa découverte grâce aux correctifs d’urgence publiés par Microsoft et à la découverte d’un commutateur d’arrêt qui empêchait les ordinateurs infectés de propager davantage WannaCry. On estime que l’attaque a touché plus de 200 000 ordinateurs à travers 150 pays, avec des dommages financiers estimés à des centaines de millions de dollars. Les experts en sécurité ont cru, d’après l’évaluation préliminaire du ver, que l’attaque provenait de la Corée du Nord ou d’agences travaillant pour le pays. En décembre 2017, les États-Unis, le Royaume-Uni et l’Australie ont officiellement affirmé que la Corée du Nord était à l’origine de l’attaque.

Darien Huss, chercheur en cybersécurité Proofpoint qui a contribué à stopper la propagation de l’attaque WannaCry en 2017 déclare :

Au cours de l’année écoulée après WannaCry, nous avons observé non seulement des cybercriminels, mais aussi des acteurs présumés d’États-nations adopter ce style d’attaque. En juin 2017, par exemple, l’attaque ” NotPetya “, qui a connu un grand succès, a reproduit des techniques similaires, y compris l’exploit qui a accéléré sa propagation sur les réseaux d’entreprise et causé des dommages aux entreprises à travers le monde.

Alors que le battage médiatique autour de la valeur de Bitcoin fait fureur vers la fin de 2017, nous avons observé que de nombreux cybercriminels se détournent des logiciels de rançon au profit de botnets mineurs de cryptomonnaie. Nos chercheurs ont contribué à analyser le botnet Smominru, qui a utilisé le même exploit de WannaCry pour générer plus de 3,6 millions de dollars en Monero.

Etant l’une des cyberattaques les plus médiatisées de ces dernières années, les effets de WannaCry sont encore visibles. Il est encourageant de voir le NHS annoncer ses mesures de mise à niveau vers des logiciels plus sécurisés et mis à jour, mais nous constatons à maintes reprises que les entreprises sont trop lentes à améliorer leur politique de défense contre des attaques de plus en plus ciblées et sophistiquées à travers l’email, les appareils mobiles et les réseaux sociaux“.

L’analyse de l’attaque WannaCry en 10 chiffres par les experts Proofpoint :

  1. Le vendredi 12 mai 2017, la cyberattaque WannaCry a commencé au matin
  2. Nombre total d’ordinateurs infectés : 400 000.  En l’espace d’une journée, il aurait infecté plus de 230 000 ordinateurs dans au moins 150 pays (Europol).
  3. La société de cybersécurité Avast a identifié WannaCry comme l’une des cyberattaques les plus vastes et les plus dommageables de l’histoire.
  4. Une rançon sous forme de Bitcoin. Le WannaCry ransomware cryptoworm a ciblé les ordinateurs équipés du système d’exploitation Microsoft Windows en cryptant les données et en exigeant le paiement de rançon en Bitcoin.
  5. 98% des victimes de WannaCry utilisaient Windows 7
  6. WannaCry visait principalement le Royaume-Uni, la Russie, l’Ukraine et Taïwan mais les universités chinoises, Spanish Telefonica, le ministère russe de l’Intérieur et des entreprises mondiales comme FedEx ont également indiqué qu’elles avaient été touchées aux côtés du NHS.
  7. Propagation du ransomware au secteur automobile

Nissan Motor Manufacturing UK à Tyne et Wear a arrêté sa production après que le ransomware a infecté certains de leurs systèmes et Renault a arrêté la production sur plusieurs sites pour tenter de stopper la diffusion du ransomware.

  1. L’infection initiale était probablement due à un port SMB (Server Message Block) vulnérable exposé30, plutôt qu’à l’hameçonnage de courriels, comme on l’avait supposé au départ.
  2. ETERNALBLUE était l’un des 18 exploits divulgués par les Shadow Brokers.
  3. Seulement 0,07 % des victimes ont payé la rançon WannaCry.
  4. Le travail d’un chercheur en cybersécurité, qui a activé un ‘kill-switch’ dans la soirée du vendredi 12 mai, a eu pour effet d’empêcher WannaCry d’infecter d’autres dispositifs. Sans cette intervention, il est probable que l’impact de WannaCry sur les services aurait été encore plus grand.
  5. WannaCry avait été découvert 91 jours avant l’épidémie.
  6. Le correctif pour la vulnérabilité SMB était disponible pendant 59 jours avant l’attaque.
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.