WannaCry
Products and Services PRODUCTS & SERVICES

WannaCry : ce que nous savons à présent au sujet de cette épidémie

Le ransomware WannaCry a fait beaucoup de bruit mais avec le recul cette cyberattaque est essentiellement basée sur d'anciennes techniques. Dans tous les cas le paiement de la rançon, sauf extrême urgence, n'est pas recommandé.

Il ne fait aucun doute que la cyberattaque par le ransomware WannaCry de vendredi dernier, qui s’est répandue comme une trainée de poudre, a été un vrai cauchemar. Sa capacité à se répandre comme un worm, en exploitant une vulnérabilité de Microsoft était une première pour une campagne de ransomwares. Mais en cours de route, il y a eu beaucoup de peur et de battage médiatique sur ce sujet. Mais la vision globale est à présent plus claire.

Voici un aperçu des dernières investigations menées par Sophos, incluant un résumé de la protection offerte aux clients utilisateurs. A partir de là, nous avons examiné comment cela s’inscrivait dans les tendances générales des cyberattaques et comment, d’un point de vue plus global, cela pouvait représenter une menace majeure.

Les dernières nouvelles en ce début de semaine

Avec le code responsable de l’attaque de vendredi dernier dans la nature, nous devrons nous attendre à des répliques de ce dernier pour alimenter d’autres campagnes dans les prochains jours, afin de profiter de cette opportunité de gagner de l’argent.

Au cours du week-end, les comptes mis en place pour collecter les paiements avaient été crédités par de faibles montants par rapport aux prévisions faites pour une attaque de cette ampleur. Cependant à partir de lundi matin, les soldes créditeurs étaient à la hausse, ce qui suggère que plus de personnes répondaient lundi aux demandes de rançon. Samedi, trois portefeuilles associés au ransomware avaient reçu 92 paiements en bitcoin, totalisant 26 407.85 USD. Dimanche, le montant de ces trois portefeuilles était de 30 706.61 USD. Lundi matin, 181 paiements avaient été effectués, totalisant ainsi 29,46564365 BTC (50 504.23 USD).

Les analyses semblent confirmer que la cyberattaque de vendredi a été lancée en utilisant un code censé provenir de la NSA, et divulgué par un groupe de hackers appelé Shadow Brokers. Ce code se base sur une variante de l’exploit APT EternalBlue de Shadow Brokers (CC-1353), et utilise un chiffrement puissant concernant des fichiers tels que des documents, des images et des vidéos.

Selon les recherches menées par le SophosLabs pendant le week-end, nous n’avons pas ici les caractéristiques d’une cyberattaque sophistiquée. Cependant, les personnes impliquées ont pu utiliser des techniques complexes à partir des données émanant de la NSA pour piloter cette infection.

Il existe trois facteurs clés qui ont permis à cette attaque de se propager si rapidement :

1.      L’intégration d’un code qui a permis à la menace de se répandre rapidement à travers les réseaux comme un worm, et sans avoir besoin d’autres actions de la part de l’utilisateur après l’infection initiale.

2.      L’exploitation d’une vulnérabilité que beaucoup d’entreprises n’avaient pas corrigée. L’application des patchs au niveau des systèmes d’exploitation est la première ligne d’une stratégie de cybersécurité, mais beaucoup d’utilisateurs ont toujours du mal à installer les mises à jour régulièrement au sein de leurs environnements.

3.      Les entreprises utilisent encore Windows XP. Microsoft a abandonné la prise en charge de Windows XP et n’a pas publié de correctif pour ce système, mais a tout de même sorti un correctif pour Windows XP suite à cette attaque hors norme. Microsoft prend en charge les versions antérieures de Windows, mais avec des coûts supplémentaires.

Le CTO de Sophos Joe Levy a déclaré :

Une attaque parfaite s’auto-propage, mais lentement, et de façon aléatoire et imprévisible. Cette attaque par contre a démarré en trombe, mais cette technique n’a pas joué en sa faveur. Nous avons eu une infection qui s’est propagé comme une trainée de poudre, mais les ordinateurs qui ont été touchés étaient probablement encore susceptibles d’être frappés par des attaques secondaires, car la vulnérabilité sous-jacente n’avait probablement pas été corrigée entre temps.  

Le problème est que l’exploit et le payload sont 2 choses séparées. Le payload a été rapide et a été stoppé, mais ce n’est qu’une des nombreuses possibilités d’utilisation d’un exploit non corrigé.

Les entreprises utilisant encore Windows XP sont particulièrement sensibles à ce type d’attaque. Lancé en 2001, ce système d’exploitation a maintenant 16 ans et a été remplacé par des mises à niveau vers Windows Vista et Windows 7, 8 et 10.

Il reste à voir qui était derrière cette attaque. Sophos coopère avec les services de police pour fournir tous les renseignements qu’elle peut recueillir sur les origines et les vecteurs de cette attaque. La société croit que les infections initiales ont été acheminées par email avec un payload malveillant qu’un utilisateur a libéré après avoir été dupé.

La protection des clients

Sophos continue de mettre à jour les protections contre cette menace. Les clients de Sophos qui utilisent les produits Intercept X et Sophos EXP verront également que le ransomware WannaCry est bloqué par CryptoGuard. Notez que Intercept X et EXP bloquent le comportement sous-jacent en restaurant les fichiers supprimés ou chiffrés dans tous les cas que nous avons vu, cependant l’écran d’avertissement et le message émis par ransomware peuvent encore apparaître.

Pour obtenir les mises à jour sur les catégories spécifiques de ransomwares qui sont bloquées, Sophos met continuellement à jour un Knowledge Base Article sur le sujet.

Pendant ce temps, tout le monde est invité à mettre à jour ses environnements Windows comme décrit dans le Microsoft Security Bulletin MS17-010 – Critical. Pour ceux qui utilisent des anciennes versions de Windows, Microsoft a donné des conseils à ses clients pour les attaques de WannaCry, et a pris la décision de sortir une mise à jour de sécurité uniquement pour les plates-formes bénéficiant d’un support personnalisé, Windows XP, Windows 8 et Windows Server 2003, largement disponible en téléchargement.

Le ciel ne vous tombera pas sur la tête !

Aussi sévère que cette attaque WannaCry fût, il est important de noter que nous n’assistons pas à changement de tendance générale dans les cyberattaques. Cette attaque représente un mélange parfait de vieux comportements, et ce au sein d’une seule infection. Le vice-président de SophosLabs, Simon Reed, a déclaré :

Cette attaque démontre la nature opportuniste des créateurs de malwares commerciaux en réutilisant les techniques d’exploits les plus puissantes pour atteindre leurs objectifs, à savoir : gagner de l’argent ! 

En dernière analyse, les mêmes conseils s’appliquent toujours pour ceux qui veulent éviter ces attaques.  Pour se protéger contre les malwares exploitant les vulnérabilités de Microsoft :

  • Restez au courant de toutes les dernières versions de patchs et installez-les rapidement.
  • Si possible, remplacez les anciennes versions de Windows par celles plus récentes.

Pour se protéger contre les ransomwares en général :

  • Sauvegardez régulièrement et gardez une copie récente hors ligne. Il existe des dizaines de situations, hors ransomware, à la suite desquelles des fichiers peuvent disparaître brusquement, telles que le feu, les inondations, le vol, un ordinateur portable abandonné ou même une suppression accidentelle. Chiffrez votre sauvegarde et vous n’aurez plus à vous inquiéter si elle tombe dans de mauvaises mains.
  • Soyez prudents quant aux pièces jointes non sollicitées. Les cybercriminels comptent sur le dilemme suivant : à savoir que vous n’ouvrirez pas un document avant d’être sûr que c’est bien le bon, mais vous ne pouvez pas le savoir avant de l’ouvrir. En cas de doute, ne faites rien !
  • Utilisez Sophos Intercept X, chez vous (utilisation non professionnelle), inscrivez vous pour recevoir Sophos Home Premium Beta, qui stoppe les ransomwares dès le départ en bloquant le chiffrement non autorisé des fichiers.

Payer ou ne pas payer ?

Enfin, reste la fameuse question de savoir si les victimes doivent payer la rançon ou bien rester impassible. Sophos a pris récemment une position neutre sur cette question. Dans un monde parfait, personne ne veut payer de cybercriminels. Mais selon la situation pour une entreprise en particulier, elle peut se sentir obligée de payer pour éviter des conséquences au niveau de l’activité.

Dans le cas de cette cyberattaque WannaCry, le paiement de la rançon ne semble pas avoir aidé les victimes jusqu’à présent. Par conséquent, Levy estime que le paiement de la rançon de WannaCry n’est pas conseillé :

En général, le paiement est une mauvaise idée, à moins que l’entreprise soit vraiment désespérée et dans l’obligation impérieuse de récupérer les données, et aussi lorsque l’on sait que le paiement de cette fameuse rançon fonctionne. Dans notre cas, cela ne semble pas fonctionner !


Billet inspiré de WannaCry: here’s what we know now about the outbreak, sur Sophos nakedsecurity.