Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

WannaCry : pourquoi un tel buzz ?

Lu par: 31663 Commentaires: 3 Cote de popularité: 10

mardi 30 mai 2017

Rappelons que WannaCry a utilisé les outils et les vulnérabilités publiés par le groupe The Shadow Brokers qui les a volé chez Equation Group soupçonné d'avoir des liens avec l'Agence de sécurité nationale américaine (NSA).

"L'épidémie" WannaCry paraît assez étrange :

  1. le système de propagation de WannaCry diffère sensiblement de celui des ransomwares ordinaires qui sont le plus souvent diffusés via des spams, et dont le nombre d’utilisateurs touchés dépend de la quantité d’envois. WannaCry, lui, ressemble à un système de vente pyramidale : chaque nouvel ordinateur contaminé tente d'infecter le réseau local et d'autres adresses Internet. Cela ressemble aux épidémies du début du siècle. Mais quel résultat ! Melissa avait infecté 20% des ordinateurs dans le monde entier. I Love You ! des millions de PC en seulement quelques heures. Internet est peut-être mieux protégé depuis ?

    Plus de 18% des utilisateurs utilisent sur leurs PC des versions Windows sans licence, 23% d’entre eux désactivent le service Windows Update.

    Et quid de WannaCry ? Selon diverses estimations, le nombre d'ordinateurs contaminés varie entre 200 et 400 000.

    Comme le rapporte MalwareHunter, le 19 mai, XData a infecté quatre fois plus d'utilisateurs ukrainiens que le ver WannaCry tristement célèbre durant toute la semaine.

    http://www.securitylab.ru/news/486205.php

    Avez vous entendu les médias parler de XData (alias Trojan.Encoder.11526 dans la classification Dr.Web )?

  2. L'attaque a touché presque exclusivement les plus grandes entreprises et les utilisateurs particuliers, de sorte que le nombre de PME touchées est insignifiant.

    Voici les réponses des partenaires de Doctor Web à la question de savoir si des PME parmi leurs clients ont été touchées (nous avons retiré les noms des partenaires) :

    M : Pas encore
    A : Non
    A : Non
    B : Non
    B : parmi nos clients, personne n'a été touché mais tout le monde a été effrayé :)

    N'est-ce pas bizarre pour une méthode de propagation aussi puissante ? Bien évidemment. Mais le buzz médiatique a été garanti.

    Qu’en pensez-vous ? Pourquoi ce ransomware a-t-il autant attiré l'attention de la presse ?

    Question posée au cours d'un webinaire pour les partenaires de Doctor Web.

  3. La possibilité de déchiffrement n'est pas garantie, car les clés de chiffrement présentées à l'utilisateur à titre d'exemple et les clés réellement nécessaires au déchiffrement sont différentes.
  4. Le montant de la rançon (à partir de 300 $ US en Bitcoin) représente une somme modique pour la majorité des entreprises infectées. Et, de plus, beaucoup d'entre elles ne paieront pas pour ne pas céder au chantage et préserver leur réputation.

Le résultat de cette histoire est un grand nombre de mentions dans les médias avec un minimum d'infections et un bénéfice minimum pour les criminels. Mais qui en tire profit ? On ne sait pas.

Il aura cependant été démontré qu’il est possible

  1. D'attaquer au moins un quart des ordinateurs dans le monde entier.
  2. Que l’introduction du malware sur le PC est garantie puisque l’utilisateur n’a même pas à cliquer sur un lien. Enfin, le Trojan qui s'introduit dans l'OS reçoit automatiquement les privilèges administrateur.

WannaCry est assez primitif et ses points faibles ont été mis en lumière :

  1. l'absence de re-chiffrement.
  2. Le manque de moyens de masquage contre les logiciels antivirus.
  3. Un système de communication vulnérable avec les serveurs de gestion.

Vous n'avez pas besoin d'un tambour de chaman pour prédire ce qui va se passer ensuite.

Premièrement :

Le chercheur Miroslav Stampar a détecté le ver réseau EternalRocks utilisant en une fois sept exploits de la NSA - EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch et SMBtouch.

Afin de tromper les chercheurs en sécurité, EternalRocks se déguise en WannaCry, mais contrairement à ce dernier, il ne télécharge pas de ransomware sur le système attaqué. Le malware est utilisé afin de préparer le système pour des attaques ultérieures.

Pour communiquer avec le serveur C&C, EternalRocks utilise Tor. Après avoir reçu la première demande du ver, le serveur répond uniquement 24 heures après par l’envoi du fichier shadowbrokers.zip. Après avoir décompressé le fichier, le ver commence à chercher sur Internet les ports 445 ouverts. Contrairement à WannaCry, ce logiciel malveillant n'a pas d'adresse de domaine permettant de le désactiver dans son code. Sur le système infecté, EternalRocks obtient les privilèges administrateur et même si ultérieurement, une mise à jour éliminant cette vulnérabilité est installée, le ver continue à fonctionner.

http://www.securitylab.ru/news/486210.php

Vous pouvez voir que le code du Trojan (détecté par Dr.Web comme Trojan. EternalRocks.1) est beaucoup plus intéressant, il utilise 7 vulnérabilités !

Deuxièmement :

La vulnérabilité EternalBlue, utilisée dans le ransomware WannaCry, a également été utilisée dans le mineur de la cryptomannaie Adylkuzz qui est propagé aussi à l'aide d'EternalBlue.

http://www.securitylab.ru/news/486210.php

Troisièmement (la variante la plus avancée) :

UIWIX est une nouvelle famille de logiciels malveillants. Tout comme WannaCry, le logiciel malveillant exploite une vulnérabilité dans SMB, corrigée avec la publication du bulletin de sécurité MS17-010. On peut supposer que l''exploit l'utilisant (EternalBlue) aurait été en possession de la NSA américaine jusqu'au moment où il a été publié par les pirates de Shadow Brokers.

Le fait d'utiliser la même vulnérabilité est le seul point commun de UIWIX et de WannaCry. Contrairement à WannaCry, UIWIX n’utilise pas de fichiers, après avoir utilisé la vulnérabilité, le malware s'exécute en mémoire. Lors de l’attaque, aucun fichier ni composant n'est enregistré sur le disque, ce qui complique la détection des logiciels malveillants. UIWIX est beaucoup moins visible que WannaCry. S'il se retrouve sur une machine virtuelle ou dans un sandbox, le malware se supprime. De plus, la fonction d’autodestruction est déclenchée si le ransomware se retrouve sur un ordinateur en Russie, Kazakhstan, ou Biélorussie.

Contrairement à WannaCry, le UIWIX n’est pas sauvegardé sur le système infecté après le redémarrage de l'ordinateur, et son code ne comprend pas d'adresse de domaine permettant de désactiver la fonction de chiffrement de fichiers. Les auteurs de UIWIX requièrent pour le déchiffrement seulement 200 $ et non pas un montant situé entre 300 et 600 $.

L'examen du code montre que UIWIX est en mesure de recueillir des informations d’authentification dans les navigateurs, les services de messagerie, les messageries instantanées et FTP.

http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php

Dr.Web détecte ce Trojan comme Trojan.Encoder.11536. Il se cache des logiciels antivirus, il détecte la présence de machines virtuelles et des sandbox afin de les contourner.

L'utilisation de vulnérabilités est-elle en train de devenir une nouvelle tendance d’introduction de malwares sur les ordinateurs ? Seul l'avenir le dira.

Le projet Lumières sur la sécurité recommande

  • Il s'est passé ce que les spécialistes en sécurité informatique avaient prévu : il faut vraiment installer les mises à jour pour tous les logiciels fonctionnant sur l'ordinateur. Vous pouvez facilement comptabiliser le nombre de fois où nous avons recommandé cela dans les publications du projet " Lumières sur la sécurité ". Car si vous n'installez pas les mises à jour, vous pouvez vous retrouver face à la situation suivante :

    #drweb

    le résultat de l’attaque d'un ransomware : http://www.securitylab.ru/blog/personal/Morning/341825.php

    Nous avons écrit à plusieurs reprises que la publication des vulnérabilités n’est pas forcément une bonne chose car malgré la publication de patchs, beaucoup d'utilisateurs ne les installent pas. Et les pirates le savent très bien !

    Mon ordinateur portable personnel qui tourne sous Windows 7 Home Premium, installe divers patchs automatiquement lorsque je l'éteins...

    Et ma tablette sous W10 installe automatiquement de nouveaux patchs lorsque je l'ouvre. Les PC d'entreprise ne font-ils pas la même chose ?

    Question d'un journaliste adressée à Doctor Web.

    Souvent, immédiatement après la publication de vulnérabilités (et la sortie des patchs), des attaques se déclenchent, et ces attaques sont menées par des "script - kiddie", qui sont des amateurs ne sachant pas développer eux-mêmes ni trouver des vulnérabilités mais qui utilisent les résultats des "efforts" des autres.

    Si tout le monde avait installé les patchs nécessaires, aucun Trojan mentionné n'aurait jamais pu frapper à la porte des internautes.

    Mon beau-père en a attrapé un... Il jouait sur son ordinateur, et à un moment donné, il a quitté son ordi pour se servir du thé. Lorsqu'il est revenu, il a vu la fenêtre d'un ransomware informant que tout avait été chiffré.

    Message d'un participant à un webinaire pour les partenaires de Doctor Web.

  • Désactivez tous les services inutiles. Pour que l'attaque de WannaCry soit impossible, il suffisait de ne pas installer des patchs mais d'exécuter une commande système ! Par ailleurs, la recommandation de désactiver SMBv1 a été publiée en 2016 !

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs