WannaCrypt : un ransomware attaque des milliers d’entreprises dans le monde
Depuis vendredi, on entend parler que de lui, WannaCrypt, repris également dans la presse comme WanaCrypt, Wanna Decryptor, Wcry, WannaCry, etc. Il s’agit d’une attaque sans précédent pour un ransomware, qui touche le monde entier.
Cette attaque sans précédent se propage depuis vendredi contre des milliers d’entreprises et institutions dans le monde, cryptant leurs PC et paralysant leurs activités. Les hackers réclament 300 dollars pour débloquer les terminaux touchés.
Une attaque rendue possible grâce à la négligence des victimes
Kaspersky a indiqué : « L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif. Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges ».
Le ransomware WannaCrypt a déjà touché des milliers d’entreprises après ces 45000 attaques coordonnées dans le monde. Du jamais vu pour ce type de malware, qui ratisse généralement moins large. Ce malware a donc profité de certaines failles très connues et déjà corrigées par Microsoft et semble avoir mis le doigt sur une réalité aussi inquiétante, que déconcertante.
Pour la majorité des victimes, la raison de cette attaque est avant tout la négligence, Renault en fait partie par exemple et a dû fermer une de ses usines par sécurité, mais on retrouve d’autres grandes entreprises, administrations, hôpitaux, etc. Encore trop d’entreprises fonctionnent sous Windows XP alors que Microsoft ne fournit plus de support, de plus dans les versions plus récentes de l’OS, la faille avait été corrigée (bulletin de sécurité de Microsoft MS-17-010), mais les entreprises n’ont pas appliqué le patch.
On ne trouve par exemple aucune victime de WannaCry sur Windows 10. Cela met en avant une triste réalité: de grands acteurs de l’économie (Telefonica, Fedex, Renault, etc.) et parfois des services vitaux de la société (administrations, hôpitaux, universités, etc.) sous estiment grandement la sécurité informatique et les pirates le savent. Dans le cas de la faille visée par un groupe de pirates inconnus, cette vulnérabilité était même reconnue publiquement puisque c’est une des failles que la NSA utilisait pour ses programmes d’espionnage et que le groupe de hackers baptisé Shadowbrokers avait dénoncé il y a quelques semaines. Il est donc difficile de faire plus négligent de la part des responsables de la sécurité informatique de toutes les victimes de ce ransomware.
Une attaque informatique en train de se résorber…
Par chance, un heureux hasard a permis de faire retomber l’ampleur de l’attaque lorsqu’un chercheur indépendant se faisant appeler MalwareTech a effectué une manipulation qui a bloqué la chaîne de propagation de l’attaque. Ce dernier qui étudiait le code source du ransomware WannaCry avait découvert qu’avant d’infecter un ordinateur, que le malware faisait un test sur une adresse web bidon. Ce dernier a été vérifier et a vu que le domaine en question était à vendre, il a donc pris la décision de le racheter. Cette simple action a actionné un mécanisme d’autoblocage sur le malware.
Désormais la propagation est en chute libre et Microsoft a décidé de mettre les mains dans le cambouis en proposant un patch sur plusieurs versions de son système d’exploitation, malgré la fin du support de certains OS (Windows XP, Windows 8 et Windows Server 2003). Espérons que les entreprises et institutions installeront ce dernier désormais et tous les suivants…Une règle de base de la sécurité surtout sur des failles médiatisées !