Attaque géante dans 74 pays du ransomware WannaCry

Tour d'horizon des réactions et analyses des spécialistes du domaine de la protection.

Attaque de ransomware géante dans 74 pays

Vendredi 12 mai, une attaque de ransomware de très grande envergure a eu lieu dans plusieurs pays. Si le service public de santé britannique (NHS) ou encore le centre d'alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes plus tôt dans la journée, ce ne sont pas moins de 74 pays qui auraient été touchés par plus de 45 000 attaques, selon le spécialiste de la cybersécurité Kaspersky Lab.

L’attaque a été baptisée WannaCry.

Quelques éléments clés :

  • L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif ;
  • L’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées ;
  • Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges.

Le rapport complet des experts de Kaspersky Lab est disponible ici : https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

Auteur : Kaspersky Lab.

WannaCry : la menace du lundi matin ?

La portée du malware WannaCry pourrait s'accroître dès demain matin et occasionner des dégâts dont le coût potentiel dépasse largement les rançons obtenues à ce jour (environ 30 000 $ en Bitcoins) par les cybercriminels.

Actuellement, nous connaissons trois variantes de ce malware, deux embarquent un kill switch, le troisième en est dépourvu. Nous pensons que WannaCry se propagera encore plus dès lundi, lorsque les systèmes qui ont été éteints pour le week-end et qui n'ont pas reçu les correctifs nécessaires seront remis sous tension.

Si on regarde les 3 portefeuilles Bitcoins indiqués dans la première version du code, les responsables de l'extorsion ont réalisé un bénéfice d'environ 30 000 $ avec cette campagne. Un montant nettement inférieur à celui que représentent les dommages occasionnés. Des hôpitaux, l'industrie automobile, les télécommunications, les universités, les gouvernements, les institutions financières, les transports, les panneaux d’affichage urbains et même les distributeurs et guichets automatiques ont été affectés par cette campagne.

Auteur : Daniel Smith, Radware.

Juniper Networks partage les détails techniques et ses recommandations

Tandis que WannaCry (Wanna, Wcr ransomware), un ransomware auto-réplicant affecte les ordinateurs du monde entier et perturbe entreprises, fournisseurs de services pour les entreprises, gouvernements et particuliers, les acteurs de la sécurité informatique cherchent à comprendre les mécanismes de l’attaque pour adapter leurs recommandations.

Parmi eux, Juniper Networks, a publié le blog post suivant (incluant de nombreuses captures d’écran) : https://forums.juniper.net/t5/Security-Now/Rapid-Response-The-WannaCry-Ransomware-Outbreak/ba-p/307835

Une nouvelle variante de WannaCry qui n'utilise pas le mécanisme "Killswitch" original a déjà été repérée. Les chercheurs soupçonnent actuellement que ce mécanisme cache une tentative de contournement de certains types de moteurs d'analyse dynamique qui répondent automatiquement aux demandes GET arbitraires, empêchant ainsi la « détonation » dans l'environnement et évitant de ce fait la détection.

De manière plus générale, concernant WannaCry, les informations au moment de la rédaction semblaient indiquer que le point d'infection initial au sein de la plupart des organisations repose sur des mécanismes traditionnels, principalement des courriels et des fichiers PDF livrés sur Internet grâce au botnet Necurs. La spécificité de WannaCry est évidemment sa capacité à s’éloigner du modèle «Patent Zero» pour se propager rapidement sur un réseau compatible SMBv1.

L'exécution de code à distance non authentifiée SMBv1 (RCE) qui a permis le succès de WannaCry a été publiée dans le dépôt effectué par les ShadowBrokers le 14 avril 2017. Surnommée de manière non-officielle "EternalBlue", cette vulnérabilité a été traitée de manière préventive par Microsoft le 14 mars dans le bulletin de sécurité MS17-010 .

Un regard sur le code de l'un des exemples publics d'EternalBlue révèle pourquoi il est si efficace : il ne nécessite absolument aucune interaction de la part de l'attaquant et facilite un mécanisme de distribution efficace pour le ransomware au sein des entreprisse vulnérables.

Si Microsoft s’est montré proactif en lançant un patch pour combler la vulnérabilité (MS17-010), de nombreux utilisateurs n'ont toujours pas déployé le correctif, comme en témoigne le succès de WannaCry. De plus, aucun patch n'a été publié pour Windows XP, système d’exploitation qui reste répandu dans certaines industries et régions du monde.

Par ailleurs, Microsoft vient de publier un bulletin public listant les correctifs pour Windows XP, Windows 8 et certaines plates-formes serveur qui n'ont pas reçu la mise à jour MS17-010 d'origine. L’annonce est disponible à cette adresse : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.

Auteur : Juniper Networks.

Réaction et recommandations de Proofpoint

La nouvelle attaque au ransomware Wannacryptor, exploitant une importante vulnérabilité Microsoft dont le patch est disponible et qui aurait déjà dû être corrigée, s’est rapidement propagée à l’échelle mondiale. Il est inquiétant que cette attaque utilisant une méthode de propagation de type ‘’worm’’ se soit avérée si problématique pour de grandes organisations disposant d’infrastructures critiques pouvant avoir un impact sur la santé des individus. Nous sommes convaincus qu’il ne s’agissait que d’une question de temps avant qu’une attaque de ce type soit lancée, dans la mesure où les vulnérabilités de Microsoft représentaient une trop belle opportunité pour les cybercriminels de s’y engouffrer pour propager rapidement leur attaque ransomware et en tirer un bénéfice financier.

Selon notre analyse, et pour la première fois, de nouvelles formes de ransomware apparaissent désormais en moyenne une fois par jour. Au premier trimestre 2017, quatre fois plus de nouveaux ransomware qu’au quatrième trimestre 2016 sont apparus. Alors que cette nouvelle cyberattaque ne semble pas avoir eu autant de succès que des attaques ciblées de malware que nous observons régulièrement, les réseaux d’organisations mal protégées ont été sévèrement touchés car l’attaque se répercute sur tous les systèmes vulnérables du même réseau.

Si vous pensez avoir été infecté par un ransomware, n’éteignez pas votre ordinateur. Ne tentez pas de déchiffrer vos dossiers vous-mêmes et ne versez pas d’argent. Evitez également de connecter d’autres appareils – clés USB, disques de sauvegarde, téléphone - à votre ordinateur infecté pour tenter de récupérer vos fichiers. Confiez votre machine à un expert en sécurité informatique qui pourra récupérer vos données et vérifier qu’il n’y a pas d’autre malware dans l’ordinateur. Enfin, que vous soyez un particulier ou employé d’une entreprise touchée, vous devez rapporter l’incident à la gendarmerie ou au commissariat le plus proche. Votre entreprise doit normalement avoir un système de sauvegarde. La plupart des organisations ont déjà arrêté de payer des rançons, car même si elles sont infectées, elles pourront restaurer leurs systèmes

Auteur : Ryan Kalember, expert cybersécurité Proofpoint.

Commentaire de F5 Networks

Il y a plus d'une douzaine d'années, le chercheur pionnier des programmes malveillants, le Dr Peter Tippett, a inventé l'expression « virus disaster » (catastrophe virale), pour décrire le moment où plus de 25 machines connectées à un seul réseau se retrouvent infectées comme « point de basculement » nécessitant l'arrêt complet d'un réseau. Le nouveau Ransomware WannaCry, qui verrouille tous les fichiers sur un ordinateur infecté jusqu'à ce que l'utilisateur paie une rançon, semble avoir plongé des sections entières d'infrastructures critiques en situation de catastrophe virale. Les différents hôpitaux touchés au Royaume-Uni ont été parmi les premières organisations infectées avant que les dommages ne se répandent plus largement un peu partout dans le Monde. Cette attaque sera certainement un point clé dans l¹évolution de la sécurité et de la conformité.

Le logiciel malveillant utilise MS17-010 aussi connu sous le nom "EternalBlue" (un exploit de la NSA rendu public par Shadow Brokers) pour frapper toute personne à travers le réseau qui n'avait pas mis à jour et corrigé cette vulnérabilité. Celle-ci touche le protocole SMB (Server Message Block) de partage de fichiers, qui est généralement grand ouvert au sein des réseaux organisationnels et facilite malheureusement la diffusion rapide de cette attaque.

Tout comme nous l'avons vu avec les ransomwares Cerberus et Apache Struts, les hackers ne perdent jamais de temps avant d¹améliorer les ogives de leurs logiciels malveillants avec les derniers exploits dévoilés. Lorsque de nouvelles failles sont révélées, les entreprises doivent s¹attendre à ce que les attaques précédentes soient reconditionnées pour profiter d¹une nouvelle façon d'entrer.

L'objectif évident est de mettre à jour et de patcher rapidement, la plupart des entreprises s¹attelant probablement à la tâche en urgence. C'est là que les couches secondaires de défense peuvent faire gagner du temps en permettant de verrouiller le trafic Internet entrant et le trafic latéral, au travers des réseaux. L¹entreprise peut ainsi bloquer ou restreindre les ports TCP 22, 23, 3389, 139 et 145 ainsi que UDP 137 et 138. Elles peuvent également en profiter pour vérifier que les sauvegardes sont bien paramétrées et complètes.

Cette attaque se poursuit rapidement et nous apprendrons probablement des choses intéressantes au cours des prochains jours. Espérons que toutes les organisations qui seront touchées par cette situation seront en mesure de faire face à la tempête et d¹en sortir plus forte après.

Auteur : Laurent Pétroque, expert fraude en ligne chez F5 Networks.

A lire également : La France touchée par le ransomware qui bloque des dizaines de milliers de PC dans le monde.

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !