Caractéristiques de WannaCrypt

Cette attaque n’est pas nouvelle dans son genre, mais sa portée est spectaculaire comparée aux autres menaces. Pour autant, cela n’est pas surprenant. Les techniques utilisées par les pirates évoluent aussi rapidement que les technologies de cybersécurité.

L’originalité de cette menace repose sur sa double fonction. Agissant comme un ransomware par la demande de rançon, WannaCrypt dispose des capacités d’un ver informatique, ce qui lui permet de se propager par lui-même.

La différence entre WannaCrypt et d’autres ransomwares repose sur l’usage d’outils de piratage que la NSA aurait laissé fuiter. Ces outils permettent à l’infection de se répandre de manière autonome à travers le réseau, d’où la vitesse de propagation jamais atteinte avec une infection par ransomware. La découverte de la vulnérabilité utilisée date du 14 avril 2017, elle concerne principalement les anciennes versions de Windows.

Le vendredi 12 mai 2017, 14 383 utilisateurs ESET rapportent jusqu’à 66 566 tentatives d’attaque, toutes maîtrisées :
– 9 922 clients ont rapporté 60 187 tentatives bloquées par notre détection de fichier / mémoire
– 4 461 utilisateurs ont rapporté 6 379 tentatives bloquées par notre module de protection du réseau

Voici les principaux pays touchés par cette attaque, à partir des éléments de détection ESET :

Russie 30189 (45.07%)
Ukraine 7955 (11.88%)
Taiwan 7736 (11.55%)
République des Philippines 1973 (2.95%)
Égypte 1592 (2.38%)
Iran 1445 (2.16%)
Inde 1135 (1.69%)
Thaïlande 1036 (1.55%)
Italie 795 (1.19%)
Turquie 711 (1.06%)
République de Chine 706 (1.05%)
Émirats arabes unis 673
France 661 (1.00%)
Kazakhstan 650

Une prise de risque délibérée de la part de la DSI ?

Bien que Microsoft ait réalisé une mise à jour (MS17-010) suite à la découverte de cette faille, même sur des OS obsolètes tels qu’XP, l’ordinateur n’est pas pour autant protégé contre WannaCrypt.

N’oublions pas que la mise à jour des systèmes d’exploitation est une décision qui doit être prise suite à la réalisation de l’analyse de risque. Bien souvent, la DSI estime que le risque de faire face à une menace serait bien moins couteux pour l’entreprise que de patcher les systèmes. Dans ce cas, des mesures préalables de sauvegarde et de restauration sont mises en place.

D’autres raisons empêchent également l’application de mises à jour qui peut par exemple perturber des services vitaux. Les systèmes SCADA sont d’ailleurs très sensibles à ces changements pouvant causer des problèmes d’indisponibilité.

Entre responsabilité et budget

Qui est responsable ? Au vu du nombre de facteurs qui entre en jeu, comme ceux cités précédemment, la responsabilité est difficilement imputable. En théorie, la responsabilité du service technique ne peut être engagée, car il doit faire face à des contraintes, notamment en matière de budget. Si l’on tire une leçon de cette attaque, c’est que les entreprises doivent prendre leur responsabilité et choisir entre mise à jour des OS et réaction en cas d’infection.

Anticiper pour se préparer

Notre service Threat Intelligence et les recherches menées par les laboratoires ESET® se sont préparés à ce type d’attaque. Nos technologies nous permettent de réagir rapidement notamment en utilisant le machine learning, pour faire face aux nombreuses variantes de WannaCrypt.

Notre support reçoit quasiment à 100% des appels à propos de ce ransomware. Nous avons une hausse de 30% du nombre d’appels. Face à cette menace, les utilisateurs souhaitent se rassurer et recevoir des conseils avisés. Sur l’ensemble des appels reçus, aucun utilisateur n’a été touché par WannaCrypt.

ESET fait partie des premiers éditeurs ayant repéré WannaCryptor.D, notre détection date du 06 avril 2017. La menace est bloquée par plusieurs modules de protection : la partie ransomware d’une part, secondée par le module de protection réseau. Cette deuxième partie bloque l’exploit permettant la propagation de la menace. ESET a alerté ses utilisateurs sur son site Internet. Toutes les instructions, étape par étape, sont renseignées pour qu’ils s’assurent d’être correctement protégés contre cette menace.

Des mesures de prévention pour diminuer les risques
Pour une protection générale contre les ransomwares, nous recommandons aux utilisateurs :
– de garder leur système d’exploitation et leur logiciel à jour
– d’utiliser une solution de sécurité fiable avec plusieurs couches de protection
– de créer des sauvegardes (idéalement sur un disque dur externe déconnecté du réseau)
– de sensibiliser leurs collaborateurs aux risques informatiques

L’étude des comportements des cyberattaquants et l’expertise des chercheurs d’ESET sur les outils et méthodologies employés par les pirates constituent pour les millions de clients d’ESET dans le monde un avantage stratégique.
Vous trouverez ci-dessous les liens utiles et relatifs à cette attaque :
– article WeLiveSecurity, qui décrit l’attaque
– support ESET, qui détaille les instructions à suivre