Qu'est-ce que WannaCry?
L'histoire complète de l'une des pires épidémies de ransomwares de l'histoire
«WannaCry» est un terme susceptible d'effrayer les services informatiques du pays, même des années après l'impact dévastateur de cette cyber-menace vicieuse. Même si cela fait presque quatre ans que les ransomwares ont frappé les entreprises de ce pays, nous considérons toujours WannaCry comme un exemple concret du pire des cas.
Ce type de ransomware a été découvert pour la première fois en mai 2017 lorsqu'il s'est répandu sur des appareils du monde entier. Il a pris le contrôle du serveur et des fichiers, et a exigé un paiement Bitcoin en échange du retour.
Ce ransomware crypto exploite les failles de sécurité du système d'exploitation Windows avec un outil appelé EternalBlue, qui était censé être développé par la National Security Agency (NSA) des États-Unis. Même si Microsoft avait lancé la mise à jour deux mois plus tôt, de nombreuses organisations exécutant des versions plus anciennes de Windows, notamment Windows XP et Windows 7, étaient toujours vulnérables.
La plus grande victime de WannaCry est peut-être le National Health Service (NHS), où un type de ransomware perturbe les opérations d'environ un tiers de la confiance. L'attaque a entraîné l'annulation d'environ 19 000 jeux et une facture d'environ 92 millions de livres sterling.
Bien que l'épidémie de WannaCry ait été dévastatrice, elle n'a pas duré longtemps et s'est arrêtée quelques jours seulement après avoir découvert que le système informatique fonctionnait mal. Néanmoins, WannaCry est un test de survie réussi de ransomware en tant que méthode efficace de cyberattaques par un certain nombre de cyber gangs.
Qui est concerné par WannaCry?
WannaCry a fait la une des journaux après avoir fait la une de plusieurs organisations du NHS à travers le pays en mai 2017. Les systèmes de 16 sites du NHS, y compris un tiers des fiducies hospitalières et 5% des médecins généralistes, ont été paralysés par une soudaine incapacité à accéder aux fonctions essentielles, a entraîné de sérieux retards et l’annulation de quelque 19 000 sessions.
Malgré les rapports initiaux, l'infection par ransomware ne faisait pas partie d'une attaque coordonnée plus large contre le NHS comme on le craignait. En fait, on pense que le NHS a récemment été attaqué par des logiciels malveillants malveillants ciblant les systèmes hérités.
Des infections WannaCry ont été signalées dans au moins 11 pays dans les heures suivant la détection initiale. Après tout, le malware a infecté plus de 200 000 systèmes dans 150 pays en 24 heures. Les victimes les plus célèbres sont Telefonica, FedEx et Deutsche Bahn.
Le NHS est l'une des plus grandes victimes de l'attaque
On estime que WannaCry a causé des pertes estimées à 4 milliards de dollars, dont 92 millions de livres au NHS.
À l'époque, les organisations les plus touchées étaient supposées être des organisations qui s'appuyaient sur une ancienne version du système d'exploitation Windows, Windows XP. Cependant, une analyse après les événements de Kaspersky a montré que la majorité des infections (98%) ont été détectées sur des ordinateurs exécutant Windows 7, le système d'exploitation qui à l'époque recevait le support de sécurité amélioré de Microsoft, c'est-à-dire l'infection B.Windows XP%.
Les victimes ont été informées de ne pas payer la rançon demandée et, bien que WannaCry ait cessé de distribuer, seuls 327 paiements ont été effectués à des adresses codées en dur dans des portefeuilles Bitcoin liés au malware. Le montant total payé était d'environ 140000 $ lorsqu'il a été radié du portefeuille en août 2017.
On pense que WannaCry a le potentiel de causer des dommages catastrophiques s'il est ciblé sur des infrastructures critiques telles que les services publics ou le réseau électrique national.
Quelles failles de sécurité utilise WannaCry?
Comme tous les donneurs de rançon, WannaCry accède à l'ordinateur cible, crypte le contenu du disque dur, puis extorque de l'argent à la victime en échange d'une clé de décryptage. Ce qui rend WannaCry unique, c'est la façon dont il est distribué.
Le package WannaCry se compose de deux parties: une section d'échange, qui crypte l'ordinateur cible et supprime les instructions de remboursement, et un composant qui lui permet de se propager rapidement sur le réseau. Ce dernier élément est ce qui le rend si dévastateur.
Sur la base d'un bogue dans le protocole SMB (Server Message Block) de différentes versions de Windows, il recherche le réseau local auquel l'ordinateur est connecté et trouve d'autres périphériques (y compris des imprimantes et d'autres périphériques, ainsi que des ordinateurs) avec un port ouvert Réseau SMB. Ensuite, un paquet spécialement conçu est utilisé pour lancer le transfert et le déchargement sur le nouvel ordinateur. Puis le processus recommence.
Ce processus est basé sur un exploit appelé "EternalBlue" publié par le groupe de piratage Shadow Brokers. Cette mystérieuse équipe de piratage a lancé un certain nombre d'exploits malveillants de vulnérabilités dans des systèmes critiques (largement supposés être créés par la NSA) sur les réseaux publics afin que les auteurs de WannaCry puissent les brancher sur leur ransomware pour les arrêter. WannaCry utilise également DOUBLEPULSAR, un outil d'injection de porte dérobée également trouvé dans la fuite de Shadow Brokers, pour aider à la propagation.
L'exploit EternalBlue, qui a facilité le déploiement de WannaCry, avait été corrigé par Microsoft des mois plus tôt, mais l'échec généralisé à appliquer les correctifs en temps opportun mettait les victimes en danger. Peu de temps après l'épidémie, Microsoft a également pris la décision inhabituelle de publier des correctifs d'urgence pour le système d'exploitation affecté qui approchait de la fin de sa vie.
Qui est derrière WannaCry?
Il est prouvé que WannaCry est dirigé par le groupe nord-coréen Lazarus
Il a toujours été difficile d'attribuer des cyberattaques à des personnes, des groupes ou des États-nations spécifiques. Cette science est inexacte et cela rend la tâche encore plus difficile car les auteurs de logiciels malveillants lancent de faux drapeaux pour écarter les enquêteurs. Cependant, il existe un consensus général au sein de la communauté de la sécurité et du renseignement sur le fait que les pirates informatiques en Corée du Nord sont très probablement derrière WannaCry et travaillent très probablement au nom du gouvernement.
Cette évaluation confirme le fait que les métadonnées dans le fichier du ransomware indiquent que l'ordinateur de l'auteur est réglé sur le fuseau horaire coréen, tandis que Symantec et Kaspersky ont constaté que le code est très similaire à celui utilisé par le groupe Lazarus pour avoir le code. Le groupe a orchestré le piratage Sony Pictures en 2014 et est également affilié à l'État nord-coréen.
Le gouvernement américain blâme officiellement la Corée du Nord pour les attaques de septembre 2018, un acte d'accusation que divers alliés du G20, y compris la Grande-Bretagne, répriment depuis lors. Les autorités nord-coréennes ont toujours nié ces allégations.
Comment WannaCry a-t-il été arrêté?
Le déploiement de WannaCry a été interrompu avec succès moins d'une semaine après sa première apparition, grâce aux efforts combinés de chercheurs en sécurité du monde entier. Cependant, le plus gros coup porté aux logiciels malveillants est presque accidentel.
Un chercheur en sécurité travaillant chez MalwareTech (plus tard connu sous le nom de citoyen britannique Marcus Hutchins) a trouvé une URL codée dans le malware que le malware déclencherait avant de libérer sa charge utile et de crypter l'ordinateur cible.
Après avoir enregistré le domaine, il a découvert que cette URL agissait en fait comme une clé tueur. Si le malware demande un domaine et ne trouve rien, la charge utile est supprimée. Cependant, s'il obtient une réponse, il ne s'allume pas. Certains ont initialement suggéré que cela était inclus comme un commutateur délibéré qui permettrait aux auteurs de logiciels malveillants de télécharger des plugs à la demande, mais Hutchins n'est pas d'accord.
Plusieurs sandbox que les chercheurs utilisent pour analyser les malwares sans risquer d'infecter leurs ordinateurs simulent la bonne réponse à chaque recherche d'URL. Hutchins estime que l'inclusion de la vérification d'URL est une tentative pour l'empêcher de se déclencher dans un environnement sandbox, ce qui rend difficile pour les analystes de se battre. Cependant, l'effet est le même: une fois le domaine enregistré, les nouvelles infections avec WannaCry ne déclencheront pas le cryptage de la victime, détruisant ainsi sa capacité à se propager davantage.
Les pirates derrière WannaCry ont essayé de publier une nouvelle variante avec un domaine codé différent, mais ils ont été rapidement capturés et enregistrés. Ils ont également tenté de briser le domaine d'origine de Hutchins à l'aide d'une attaque DDoS prise en charge par Mirai, mais en vain. Le domaine est actuellement géré par Kryptos Logic, une société Hutchins.