Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Aturys commente l’Attaque massive du Ransomware Wannacry

mai 2017 par Christophe Thomas, Président et CTO d’Aturys

Vendredi dernier, le ransomware WannaCry faisait son apparition. Voici ce qu’il faut retenir de ces journées d’attaque.

Ce ransomware infeste initialement une machine de manière assez standard via un email contenant une pièce jointe malicieuse. Plus vicieux : ce ransomware a la capacité de se propager au sein d’un réseau grâce à une vulnérabilité du système Windows présente sur toutes les versions depuis XP jusque Windows 10. Aussi, si vous partagez un réseau avec une machine infectée, vous serez rapidement contaminé. Ceci rend ce malware particulièrement virulent,en particulier pour certaines versions de Windows ne recevant plus de mise à jour de sécurité. Ceci explique que la Chine fait partie des pays les plus touchés, le système XP y étant encore particulièrement répandu. Microsoft a donc diffusé un correctif de sécurité même pour ses systèmes les plus anciens et plus maintenus (pour savoir comment faire : http://www.infoworld.com/article/31...).

Dès vendredi soir, des chercheurs pensaient avoir mis fin à la contagion en activant le process d’autodestruction (killswitch) du malware. Les hackers n’en sont pas resté là et plusieurs nouvelles versions ont déjà vu le jour permettant au ransomware de se maintenir actif. On observe également maintenant des clones plus au moins efficaces qui ciblent certains pays plus particulièrement (Aron WanaCrypt0r, DarkoderCrypt0r par exemple).

Wannacry aurait touché plus de 200000 personnes dans 150 pays. En suivant les transactions des portefeuilles bitcoin associés aux différentes versions du ransomware Europol estime un gain plutôt faible (de l’ordre de $70,000) pour les cybercriminels. Une analyse du code du malware pousse plusieurs spécialistes à suspecter un lien avec les équipes de hackers de la Corée du Nord.

Cette attaque n’est certainement pas la dernière du genre. Un nouveau malware utilisant le même principe de propagation est déjà en action : Adylkuzz. Il ne s’agit pas d’un ransomware cette fois puisque sa charge active installe un logiciel permettant de monnayer la puissance de calcul des ordinateurs corrompus contre la cryptomonnaie Monero.

Ce qu’il faut retenir

Cette vague d’attaque montre donc une fois de plus qu’il est important :

d’avoir un système d’exploitation à jour (serveur, poste de travail et mobiles)
d’analyser quelles sont vos informations critiques (données et communications) qui ne doivent en aucun cas être perdues, volées ou divulguées
de mettre en place des protections adaptées aux risques et aux enjeux, permettant de se protéger même des attaques inconnues
de travailler avec un professionnel
et d’adopter un comportement responsable ; en premier lieu, se méfier des emails invitant à télécharger un fichier ou à suivre un lien internet

Il est également rappelé qu’il est généralement déconseillé de payer les rançons car le paiement ne garantit pas de récupérer ses données (en 2016, 40% des sociétés touchées par un ransomware ont payé la rançon et seulement la moitié ont récupéré leur données) et favorise la prolifération de ce mode de criminalité. Selon CheckPoint ceci est particulièrement vrai pour cette attaque : http://blog.checkpoint.com/2017/05/....

Et pour savoir comment se passe une attaque de ce type, un chercheur a filmé l’opération sur une machine isolée du réseau : https://www.youtube.com/watch?v=Zy4...




Voir les articles précédents

    

Voir les articles suivants