WannaCry : des clés maîtres de déchiffrement sont mises à la disposition du public
WannaCry : deux centaines de clés maîtres de déchiffrement sont mises à la disposition du public,
pour le plus grand bonheur des éditeurs de solutions antivirus
Des spécialistes de la sécurité travaillant pour le compte d’entreprises françaises ont publié une paire d'outils de déchiffrement pour le ransomware WanaCry. Cependant, ces outils nécessitent entre autres que la machine infectée n’ait pas été redémarrée.
Les spécialistes ont confirmé que le décrypteur Wannakey fonctionne sur Windows XP, 7, 2003, Vista et Windows Server 2008, tandis que l'autre outil, appelé Wanakiwi, fonctionne sur ces mêmes plateformes, mais également plus 2008 R2.
C’est l’ingénieur Adrien Guinet de Quarkslab qui a développé Wannakey, suite à quoi l’ingénieur Benjamin Delpy a développé Wanakiwi en s’appuyant sur la méthodologie de Guinet et en espérant un plus large champ d’application. Il a travaillé en collaboration avec le fondateur de Comae Technologies, Matthieu Suiche, qui a vérifié l'efficacité de Wannakey et Wanakiwi. Les deux outils ont été mis en téléchargement sur GitHub.
Comme l’ont expliqué Guinet et Suiche, Wannakey et Wanakiwi ne recherchent pas réellement la clé de déchiffrement en elle-même : les deux outils sondent plutôt la mémoire des machines infectées à la recherche des nombres premiers qui ont été laissées après le processus de création de clé privée
« Il semble qu'il n'y ait pas de façons propres et multiplateformes sous Windows pour nettoyer cette mémoire », a déclaré Guinet, en se référant spécifiquement aux versions de Windows compatibles avec son outil. « Si vous êtes chanceux (c'est-à-dire que la mémoire associée n'a pas été réaffectée et effacée), ces nombres premiers pourraient encore être en mémoire. C'est ce que ce logiciel essaie d'atteindre ».
.
Malheureusement, toute tentative de redémarrage de la machine rend ces outils de déchiffrement inutiles, car ils dépendent de la mémoire actuelle en cours de fonctionnement. De même, une trop grande activité post-infection sur l'ordinateur infecté écrasera la mémoire et aura le même effet.
Notons également qu’au total, les spécialistes ont détecté 386 échantillons de logiciels malveillants utilisant WannaCry.
Tout ceci était sans compter sur un développement positif de cette affaire : dans un forum spécialisé, un individu répondant au pseudonyme lightsentinelone a publié 200 clés maîtres de déchiffrement.
Ce n'est pas la première fois que des clés maîtres pour WannaCry sont diffusées, il s’agit même de la troisième vague. Cependant, ce qui distingue cette vague des autres, c'est le fait que les clés puissent également être utilisées pour déchiffrer les fichiers chiffrés avec des extensions .wallet et .onion.
Comme l’expliquent les ingénieurs d’ESET qui s’en sont servi pour développer un outil de déchiffrement, « Cela est devenu une habitude des opérateurs de Crysis ces derniers temps - ceci est la troisième fois que des clés sont diffusées de cette manière -. Depuis que le dernier ensemble de clés de déchiffrement a été publié, des attaques par le ransomware Crysis ont été détectées par nos systèmes plus de dix mille fois ».
Malgré cette bonne nouvelle, ESET rappelle que les ransomwares restent l'une des menaces informatiques les plus dangereuses actuellement et que la prévention est essentielle pour garder les utilisateurs en sécurité.
« Par conséquent, nous recommandons que tous les utilisateurs gardent leurs systèmes d'exploitation et leurs logiciels mis à jour, utilisent des solutions de sécurité fiables avec plusieurs couches de protection et sauvegardent régulièrement toutes les données importantes et précieuses à un emplacement hors connexion (comme le stockage externe) ».
.
Source : ESET
Voir aussi :
:fleche: Microsoft dévoile une version de Windows 10 pour le gouvernement chinois, pour lui permettre de contrôler la télémétrie et le chiffrement dans ses SI
:fleche: WindsorGreen : les plans de la NSA pour casser les chiffrements auraient été découverts en libre accès sur Internet, par un chercheur en sécurité
:fleche: Affaire San Bernardino : le déchiffrement de l'iPhone aurait coûté moins cher qu'annoncé par le FBI, révèle le sénateur Feinstein
L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10
L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10,
d'après des chercheurs de RiskSense
WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017. Le logiciel malveillant s’appuyait sur deux exploits de la NSA : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.
Alors que les dégâts de WannaCry étaient principalement limités aux machines tournant sur Windows 7, une version différente d'EternalBlue pourrait infecter Windows 10.
C’est en tout cas ce que suggèrent des chercheurs de RiskSense. Ils ont figuré parmi les premiers à analyser EternalBlue, sa charge utile DoublePulsar et la plateforme Fuzzbunch de la NSA (souvenez-vous de Metasploit). Ils ont déclaré qu'ils ne vont pas publier le code source du port Windows 10 pendant quelque temps, le cas échéant.
Dans le cadre de leurs analyses, ils ont découvert qu’il était possible de contourner les mécanismes de sécurité de Windows 10 en modifiant le code de l’exploit EternalBlue. Selon les chercheurs, la meilleure défense contre EternalBlue consiste à appliquer la mise à jour MS17-010 fournie en mars par Microsoft.
Les chercheurs ont publié un rapport dans lequel ils expliquent ce qui est nécessaire pour porter l'exploit de la NSA sur Windows 10. Ils prennent également le temps d’examiner les mesures d'atténuation mises en œuvre par Microsoft qui peuvent bloquer ces attaques.
« Nous avons omis certains détails de la chaîne d'exploit qui ne seraient utiles qu'aux attaquants et non à la construction de défenses », a déclaré l'analyste principal de recherche Sean Dillon. « La recherche est destinée à l'industrie de la sécurité de l'information des whites HAT afin d'accroître la compréhension et la connaissance de ces exploits. L’objectif est de voir se développer de nouvelles techniques prévenir des attaques futures. Cela aide les défenseurs à mieux comprendre la chaîne d'exploit afin qu'ils puissent construire des défenses face à l'exploit plutôt que face à la charge utile » .
Le module Metasploit disponible, qui est complètement séparé du nouveau port Windows 10, est une version simplifiée d'EternalBlue qui a réduit la quantité de trafic réseau impliqué et, par conséquent, plusieurs des règles du système de détection d'intrusion créées depuis la fuite et recommandées par les entreprises de sécurité et le gouvernement américain pourraient être contournées. Il supprime également la porte dérobée DoublePulsar, à laquelle Dillon a déclaré que de nombreuses entreprises de sécurité ont accordé une attention trop importante. DoublePulsar est un exploit au niveau du noyau abandonné par tous les exploits de la plateforme Fuzzbunch.
Il affirme que son équipe et lui ont réussi à « créer une nouvelle charge utile qui peut charger des logiciels malveillants directement sans installer au préalable la porte dérobée DoublePulsar. Ainsi, les personnes qui cherchent à se défendre contre ces attaques à l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons détecter et bloquer ».
Le nouveau port cible Windows 10 x64 version 1511, qui a été publié en novembre et était baptisé Threshold 2, est toujours pris en charge dans Windows Current Branch for Business. Les chercheurs ont pu contourner les atténuations introduites dans Windows 10 qui ne sont pas présentes dans Windows XP, 7 ou 8, et vaincre les dérivations EternalBlue pour DEP et ASLR.
« Pour nous connecter à Windows 10, nous avons dû créer une nouvelle dérivation pour DEP », a expliqué Dillon. Le rapport RiskSense présente plus de détails sur la nouvelle attaque, y compris sur la nouvelle charge utile qui vient remplacer DoublePulsar, dont Dillon a déclaré qu'elle était cryptographiquement instable et permet à quiconque de charger des logiciels malveillants secondaires. La nouvelle charge utile de RiskSense est une Asynchronous Procedure Call (APC) qui permet d'exécuter les charges utiles du mode utilisateur sans la porte dérobée.
« Une APC peut “emprunter” un thread de processus qui se trouve dans un état alertable inactif et s'il repose sur des structures dont les décalages changent entre les versions de Microsoft Windows, c'est l'un des moyens les plus fiables et les plus faciles de sortir du mode noyau et d'entrer dans le mode utilisateur », a expliqué RiskSense.
Source : rapport de RiskSense (au format PDF)
3 pièce(s) jointe(s)
Ransomware WannaCry : Quelles erreurs ont commises ses auteurs ?
Ransomware WannaCry : Quelles erreurs ont commises ses auteurs ?
Et comment en tirer profit, d’après Kaspersky Lab
Les chercheurs en sécurité sont désormais formels au sujet du degré de sophistication du ransomware WannaCry. Si ce dernier a bénéficié d’une forte couverture médiatique, c’est bien à cause de sa propagation à grande échelle causée par la négligence des acteurs du secteur de l’IT. WannaCry n’en est pas pour autant, aux dires des experts en sécurité, le plus sophistiqué des ransomwares de l’histoire. Les chercheurs de la firme de sécurité Kaspersky Lab ont passé son code au décryptage et dévoilé des failles qui permettent à des personnes possédant des ordinateurs infectés de récupérer leurs données.
Les chercheurs de la firme Kaspersky Lab rapportent qu’au moment de chiffrer les fichiers de la victime, le fichier original est lu, son contenu est chiffré et sauvegardé dans un autre avec l’extension .WNCRYPT. Le fichier avec l’extension .WNCRYPT est ensuite renommé avec l’extension .WNCRY et l’original est détruit ou simplement masqué. Ils rapportent que ce processus dépend de l’emplacement du fichier concerné au sein de l’ordinateur et de ses attributs.
Dans le cas des fichiers en lecture seule, les chercheurs rapportent que le ransomware crée une copie chiffrée des fichiers originaux qui, eux-mêmes, sont simplement masqués. On peut voir sur l’image ci-dessous que chaque fichier avec l’extension .WNCRY a un correspondant qui est le fichier original masqué. Ceci a comme implication que les fichiers sont aisément récupérables en procédant à une restauration de leurs attributs normaux.
Pour ce qui est des fichiers qui ont leur attribut lecture seule non activé, la situation est un peu plus complexe et dépend de l’emplacement du fichier au sein de l’ordinateur affecté. Les chercheurs rapportent que le code du ransomware fait le distinguo entre les fichiers situés sur la partition système et ceux situés en dehors. Pour ce qui est de la partition système, le code du ransomware discrimine les répertoires « importants » - répertoire Windows, documents, bureau, etc. - et ceux qui ne le sont pas, par exemple un fichier qui serait situé sur la racine de la partition système.
D’après ce qui ressort de leur analyse de la section de code du ransomware censée gérer les fichiers situés sur la partition système (cf. image 1 ci-dessous), ceux situés dans les répertoires importants sont écrasés avec des données aléatoires et ne peuvent donc être récupérés. Ceux situés dans les répertoires non marqués comme étant importants sont placés dans des fichiers dont le chemin d’accès est %TEMP%\%d.WNCRYT où %d représente une valeur numérique (cf. image 2 ci-dessous). Il s’agit en réalité des fichiers chiffrés qui, aux dires des chercheurs, correspondent aux originaux qui sont supprimés par le ransomware. Les chercheurs indiquent que l’usage d’un outil de récupération des données peut permettre de récupérer les fichiers originaux qui, même s’ils sont supprimés, laissent en principe des traces.
Il y a enfin le cas des données situées sur les partitions non système. Leur analyse de la section de code censée gérer des fichiers situés sur de telles partitions (cf. image 3 ci-dessous) révèle que le ransomware crée un répertoire masqué $RECYCLE invisible via l’explorateur de fichiers. Ce répertoire est censé accueillir les fichiers chiffrés. Les chercheurs font état de ce qu’à cause de certaines erreurs de synchronisation dans le code, la plupart des fichiers originaux demeurent à leur emplacement d’origine et ne sont pas déplacés vers le répertoire $RECYCLE. Dans ce cas également, la suppression des fichiers par le ransomware laisse des traces qui permettent une récupération à l’aide d’un outil dédié (cf. image 4 ci-dessous).
Il faudrait rappeler que cette publication des chercheurs de la firme Kaspersky Lab intervient dans un contexte où un certain nombre d’outils de déchiffrement ont déjà été mis à disposition du public. Un inconvénient majeur demeure cependant avec ces outils : la machine infectée ne doit pas avoir été redémarrée. La publication de la firme Kaspersky semble apporter un plus à ces développements ultérieurs en ce sens qu’elle donne une idée de l’emplacement des fichiers chiffrés et par conséquent des originaux. Ceci suppose que l’usage correct d’un outil de récupération des données sur un disque installé sur une machine d’emprunt peut permettre de récupérer des données.
Source : SECURELIST
Et vous ?
:fleche: Qu’en pensez-vous ?
Voir aussi :
:fleche: L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10, d'après des chercheurs de RiskSense
:fleche: Faites attention aux faux correctifs de WannaCry diffusés en ligne, les chercheurs en sécurité recommandent la prudence et le bon sens
La NSA soupçonne également la Corée du Nord d’être derrière WannaCry
La NSA soupçonne également la Corée du Nord d’être derrière WannaCry
en se basant sur les tactiques, techniques et objectifs du ransomware
À la mi-mai, un nouveau ransomware baptisé WannaCry a été utilisé dans une vaste campagne de cyberattaque qui a touché plus de 300 000 personnes dans environ 150 pays. Cette attaque a rapidement mobilisé la communauté de la cybersécurité dont les analyses pointent sur Lazarus, un groupe de hackers très connu, soupçonné d’être parrainé par le gouvernement nord-coréen. WannaCry exploite une faille dans Windows ; laquelle avait été découverte, mais gardée secrète par la NSA qui l’a probablement exploitée à des fins d’espionnage. L’exploit de la NSA a été malheureusement mis en ligne en avril dernier par Shadow Brokers, un autre groupe de pirates qui a réussi à dérober l’arsenal de piratage de la NSA l’an dernier.
L’agence nationale de sécurité des États-Unis (NSA) a également mené des investigations sur la campagne WannaCry. Ses résultats ont été publiés en interne la semaine dernière, d’après le Washington Post, qui en a été informé par une source proche des services de renseignements des États-Unis. Dans ce rapport qui n’a pas encore été divulgué, les investigations de la NSA permettent de remonter au gouvernement nord-coréen, d’après la source.
En se basant sur les tactiques, les techniques et les objectifs de la campagne WannaCry, la NSA indique avec une « confiance raisonnable » qu’il s’agit de l’œuvre du groupe Lazarus suspecté d’être parrainé par l'agence d’espionnage de la Corée du Nord, le Reconnaissance General Bureau (RGB). La NSA aurait par exemple identifié des adresses IP en Chine, historiquement utilisées par Lazarus pour brouiller ses pistes.
WannaCry était apparemment une tentative d'augmenter les revenus pour le régime autoritaire nord-coréen. La Corée du Nord étant l'un des pays les plus isolés au monde, le déploiement de capacités cybernétiques lui permettrait de générer des revenus pour le régime. L'année dernière, les chercheurs en sécurité ont identifié la Corée du Nord comme étant derrière une série de cyberattaques ciblant des banques en Asie, y compris la Banque centrale du Bangladesh où ils ont réussi à voler plus de 81 millions de dollars. Dans cette dernière, le groupe Lazarus, indexé par Kaspersky, a exploité une faille dans le système de paiement de la banque. Le fait qu'un pays utilise des outils cybernétiques pour voler des banques représente « un nouveau front troublant dans la cyberguerre », regrettait le directeur adjoint de la NSA, Richard Ledgett. « C'est un gros problème », avait-il déclaré en faisant allusion à la Corée du Nord sans la citer.
Le dernier effort de générer des revenus via le ransomware WannaCry a toutefois été un échec. Bien que les pirates aient obtenu 140 000 $ en bitcoins, jusqu'à présent, ils ne l'ont pas encaissé. Ils devraient craindre de se faire prendre par les forces de l’ordre, probablement à cause d’une erreur opérationnelle qui a rendu les transactions faciles à suivre. « Aucune plateforme d’échange de devises en ligne ne touchera [cet argent] », a déclaré Jake Williams, fondateur de Rendition Infosec, une firme de cybersécurité. « C'est comme prendre sciemment des factures entachées d’un vol de banque », dit-il.
Jake Williams, qui a également analysé attentivement le code de WannaCry, dit être convaincu que le ransomware s'est évadé accidentellement dans une phase de test. Il explique cela par certaines de ses lacunes, comme l’incapacité de l’attaquant à dire qui a payé la rançon ou non. Néanmoins, dit-il, cela montre qu’une faille peut être transformée en arme avec le soutien d’un gouvernement pour déployer un ransomware. « Si la Corée du Nord s'en tire avec cela, je m'attends à ce que d'autres pays en développement suivent leur exemple. Je pense que cela changerait un peu le paysage cybernétique », a-t-il ajouté.
Source : The Washington Post
Et vous ?
:fleche: Qu’en pensez-vous ?
Voir aussi :
:fleche: Industroyer : un malware conçu pour prendre le contrôle des lignes électriques est celui qui a récemment plongé Kiev dans le noir
:fleche: Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris sur un lien contenu dans un fichier PowerPoint
:fleche: Le malware Turla joint son centre de contrôle et commande via des commentaires Instagram, d'après une publication de la firme ESET
WannaCry : infection de 55 caméras de trafic routier en Australie
WannaCry : infection de 55 caméras de trafic routier en Australie
Pendant des opérations de maintenance
La radio australienne 3AW s’est fait le relais d’une information très fraîche en ce qui concerne le célèbre ransomware WannaCry. Un porte-parole du Département de la justice de l’État de Victoria en Australie a indiqué que 55 caméras de trafic routier ont été infectées par ce dernier depuis la semaine dernière.
Les infections se seraient produites suite à l’introduction d’une clé USB infectée par le ransomware sur lesdites caméras – qui, apparemment, tournaient sous une version de Windows non mentionnée – pendant des opérations de maintenance. Seulement, les caméras n’étant connectées ni à Internet ni entre elles, l’infection s’est limitée à chacune d’elles.
L’infection des caméras a, aux dires du porte-parole du Département de la justice, eu pour seul effet de les faire redémarrer de temps en temps, le reste de leurs fonctionnalités étant demeurées intactes. Il a donc indiqué que les infractions enregistrées par ces dernières pendant cette période seraient bel et bien prises en compte.
Le mode de propagation évoqué par le porte-parole laisse cependant songeur. On sait jusqu’ici que le ransomware WannaCry se réplique d’ordinateur en ordinateur via Internet en exploitant des failles dans le protocole SMB utilisé sous Windows. Le cas de ces caméras de trafic routier suppose que l’on aurait affaire à une version de WannaCry capable de résider sur un support amovible en attendant son insertion dans un ordinateur qu’il prend alors en otage, ce qui, semble-t-il, serait une première.
Les techniciens ont sûrement eu confirmation de la nature de l’infection via un moniteur de contrôle qui leur a affiché le traditionnel message de demande de la rançon. Quoi qu’il en soit, le porte-parole a déclaré que des dispositions sont prises pour un retour à la normale dans les jours qui suivent.
Le ransomware WannaCry, qui a commencé à sévir en mai dernier, reste donc bien présent. On en a la preuve avec le cas de ces caméras, mais celui encore plus récent du constructeur automobile japonais Honda qui a dû arrêter sa production lundi dernier pour cause d’infection. Les responsables IT sont donc plus que jamais appelés à prendre les précautions nécessaires pour prémunir les systèmes de leurs entreprises respectives contre ces attaques.
Sources : 3AW, The Guardian, Reuters
Et vous ?
:fleche: Que pensez-vous particulièrement du mode de propagation évoqué par le porte-parole du Département de la justice ?
Voir aussi :
:fleche: Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
:fleche: WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes et aux gouvernements leurs responsabilités
:fleche: La Corée du Nord serait-elle derrière le ransomware WCry ? Des indices dans le code le suggèrent
Parrainage ou flingue sur la tempe ?
Citation:
un groupe de hackers très connu, soupçonné d’être parrainé par le gouvernement nord-coréen.
En Corée du Nord, est-ce qu'on peut vraiment parler de "parrainage" ? :aie:
WannaCry : les cybercriminels vident les portefeuilles Bitcoin de collecte des rançons
WannaCry : les cybercriminels vident les portefeuilles Bitcoin de collecte des rançons
L’équivalent de 140 000 $
Les activités néfastes du ransomware WannaCry ont été rapportées dès le 13 mai dernier. Parallèlement à cette « apocalypse » numérique, un bot Twitter de suivi des trois portefeuilles Bitcoin a été mis en place par un développeur. Ce dernier semblait indiquer une cessation des paiements de rançon, le montant total engrangé étant de 100 000 $. De récentes activités du bot indiquent que les paiements ont continué après cette période permettant aux cybercriminels de retirer l’équivalent de 140 000 $ en quelques minutes ce matin.
140 000 $, c’est peu, estiment certains observateurs, en comparaison à la forte médiatisation qu’il y a eu autour de cette cyberattaque. Le ransomware, basé sur un exploit de la NSA ciblant les systèmes Windows, a infecté plus de 300 000 ordinateurs de par le monde, la rançon minimum exigée par poste de travail s’élevant à 300 $.
Le succès en termes de collecte des rançons n’a cependant pas été au rendez-vous pour les cybercriminels. Ces derniers ont commis de nombreuses erreurs qui ont tour à tour permis à des chercheurs en cybersécurité de mettre sur pied un outil de déchiffrement pour PC Windows XP uniquement, puis un autre de portée plus large couvrant les systèmes d’exploitation Windows XP à 7. La firme de sécurité Kaspersky Lab avait également publié un article soulignant des erreurs permettant de récupérer des fichiers.
L’union de la communauté de la cybersécurité a donc sérieusement plombé la collecte des rançons, toutes choses qui font qu’en date du 24 juillet dernier le butin s’élève à 140 000 $. L’activité du bot Twitter indique que les auteurs du ransomware ont procédé au vidage de ces portefeuilles ce matin en sept retraits étalés sur une durée de sept à dix minutes.
Le mystère demeure toujours sur l’origine de l’attaque et le fait que les transactions se fassent sur le réseau Bitcoin contribue largement à cet état de choses. Fin mai, une publication de la firme de sécurité Symantec a révélé qu’il est fort probable que le groupe Lazarus soit derrière ces cyberattaques. Faisant suite à cette publication, la firme de sécurité Kaspersky Lab avait elle aussi abouti à la même conclusion. Du côté des États-Unis, même son de cloche au niveau de la NSA qui avait elle aussi déclaré être sûre de son diagnostic avec une confiance « raisonnable ».
Source : bot_Twitter
Et vous ?
:fleche: Qu’en pensez-vous ?
Voir aussi :
:fleche: GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi et cible les services de ressources humaines
:fleche: Karmen : un ransomware-as-a-service qui permet à tout amateur de mener des attaques de ransomware contre la modique somme de 175 dollars
USA : le chercheur en sécurité britannique qui a mis fin à la propagation de WannaCry arrêté par le FBI
USA : le chercheur en sécurité britannique qui a mis fin à la propagation de WannaCry arrêté par le FBI
après la conférence Def Con sur la cybersécurité
En mai, WannaCry a commencé à semer la terreur en faisant de nombreuses victimes dans le monde. Des hôpitaux au Royaume-Uni, une société espagnole de télécommunications et d'autres cibles en Russie, en Turquie, en Allemagne, au Vietnam et dans bien d’autres pays encore. Cette nouvelle menace mondiale a tout de suite attiré l’attention des chercheurs en sécurité, qui comme d’habitude cherchaient à savoir comment WannaCry fonctionne, se propage et si possible comment l’arrêter.
Le jeune Britannique Marcus Hutchins, plus connu sous le nom de MalwareTech, faisait partie de ces chercheurs qui se sont lancés dans l’analyse du code de WannaCry. C’est alors qu’il a déclenché par hasard un kill switch (une sorte de bouton d’urgence) qui était dans le code du malware. WannaCry essaie en effet d’établir une connexion avec un domaine non enregistré. Mais tant que ce domaine n’était pas enregistré, le malware n’arrivait pas à établir la connexion et continuait son infection, mais s’il arrivait à se connecter au domaine, il arrêtait alors l’infection. Sans le savoir, Marcus Hutchins a enregistré le domaine avec lequel le malware essayait d’établir une connexion et publié une page sur le domaine. Son intention était de suivre la propagation de WannaCry, mais il découvre que cela a eu pour effet secondaire d’arrêter la propagation de l’infection. C’est ainsi qu’il est devenu un héros.
Passionné du hacking, Marcus Hutchins est le genre de personnes qui ne manquent pas les conférences internationales sur la cybersécurité comme le Black Hat et la Def Con qui se sont tenues l’une après au cours des deux dernières semaines à Las Vegas.
Ce mercredi, quelques jours après la Def Con, le jeune chercheur en sécurité britannique a été arrêté par les autorités américaines, une information confirmée par de nombreux médias américains. Motherboard a également pu vérifier qu'une personne appelée Marcus Hutchins, âgée de 23 ans, était détenue au centre de détention d'Henderson au Nevada tôt le jeudi. Quelques heures après, Hutchins a été déplacé vers une autre endroit, selon un ami proche. Ce dernier a déclaré qu'ils « ont essayé de le visiter dès que le centre de détention a ouvert [aujourd'hui], mais il avait déjà été transféré. »
Pour le moment, nul ne sait les raisons de son arrestation et encore moins s’il y a un lien avec l’affaire WannaCry. « Nous ne savons toujours pas pourquoi Marcus a été arrêté et maintenant, nous n'avons aucune idée de l'endroit où il a été emmené et nous sommes extrêmement préoccupés pour son bien-être », a déclaré la source. Tout ce qu’on sait, c’est que le chercheur a été arrêté par le FBI. Un porte-parole des maréchaux des États-Unis a en effet déclaré que « c'était une arrestation par le FBI ».
Les autorités britanniques semblent également informées de la situation, mais n’en disent pas plus, à part affirmer que c’est une affaire avec les forces de l’ordre des États-Unis. « Nous sommes conscients qu'un ressortissant du Royaume-Uni a été arrêté, mais c'est une affaire des autorités aux États-Unis », a déclaré un porte-parole de l'Agence nationale britannique du crime. Au centre national britannique de la cybersécurité, c’est le même ton : « Nous sommes au courant de la situation. Il s'agit d'une question d'application de la loi et il serait inapproprié d’en dire plus. »
L’affaire suit son cours. Nous vous tiendrons donc informés quand il y aura du nouveau. Pendant ce temps, on apprend que les fonds extorqués aux victimes de la campagne WannaCry ont été retirés, soit l’équivalent de 140 000 dollars encaissés en quelques minutes ce matin.
Source : Vice
Et vous ?
:fleche: Qu’en pensez-vous ?
WannaCry : les États-Unis incriminent officiellement la Corée du Nord
WannaCry : les États-Unis incriminent officiellement la Corée du Nord,
« avec un très haut niveau de certitude »
Cette année, l’un des logiciels malveillants qui a beaucoup fait parler de lui est le ransomware WannaCry. Pour rappel, le ransomware WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017 et s’est appuyé sur deux exploits de la NSA diffusés par les Shadow Brokers : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.
Durant sa campagne, il a infecté des milliers d’entreprises de par le monde, affectant différents secteurs de l’industrie, mais également des particuliers.
Plusieurs experts en sécurité informatique qui avaient examiné le code de WannaCry après l’attaque, avaient repéré des similarités avec celui utilisé pour attaquer Sony Pictures, l’œuvre d’un groupe de pirates très compétents appelé Lazarus, suspecté d’être parrainé par l'agence d’espionnage de la Corée du Nord, le Reconnaissance General Bureau (RGB).
Ayant mené une enquête sur WannaCry, la NSA a également indiqué dans ses résultats en interne en juin 2017 qu’elle pensait, avec une « confiance raisonnable », qu’il s’agit de l’œuvre du groupe Lazarus. La NSA aurait par exemple identifié des adresses IP en Chine, historiquement utilisées par Lazarus pour brouiller ses pistes.
Si cette conclusion n’était que le fruit d’une divulgation d’une source au Washington Post, cette fois-ci l’administration Trump l’a rendue officielle. En effet, ce lundi 18 décembre, les États-Unis ont accusé la Corée du Nord d’être « directement responsable » de la cyberattaque mondiale WannaCry.
Tom Bossert, conseiller à la sécurité intérieure de la Maison-Blanche, affirme « avec un très haut niveau de certitude » que la Maison-Blanche est parvenue à ces conclusions « à la suite d’une enquête minutieuse ».
« Il ne s’agit pas d’une accusation lancée à la légère. Elle est fondée sur des preuves. Nous ne sommes pas non plus les seuls à le penser. D’autres gouvernements et entreprises privées sont d’accord avec nous. Le Royaume-Uni attribue cette attaque à la Corée du Nord et Microsoft est remonté jusqu’à ses auteurs, qui sont affiliés au régime nord-coréen. »
« L'attaque s’est généralisée et a coûté des milliards, et la Corée du Nord est directement responsable », a-t-il insisté.
Et de regretter que « La Corée du Nord a agi particulièrement mal, en grande partie sans contrôle, pendant plus d'une décennie, et son comportement malveillant est de plus en plus flagrant », estimant que « WannaCry était inconsidérément imprudent. »
La condamnation publique de Washington n'inclut aucun acte d'accusation ni de nom de personne en particulier, a ajouté le responsable de l'administration, ajoutant que cette procédure visait à rendre Pyongyang responsable de ses actes et « éroder et réduire leur capacité à lancer des attaques. »
En France, une enquête avait été ouverte par le parquet de Paris et confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
En juin, la Corée du Nord avait démenti, aux Nations unies, être à l’origine de la cyberattaque.
L'accusation des États-Unis intervient dans un contexte où des inquiétudes sont soulevées quant aux capacités de piratage de la Corée du Nord et à son programme d'armement nucléaire.
Source : WSJ, Reuters
Et vous ?
:fleche: Qu'en pensez-vous ?
Coupables parce-que les USA le disent...
"Haut niveau de certitude", "suspectés", "confiance raisonnable", "nous ne sommes pas les seuls à le penser", ...
En voilà un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations à la légère. A moins que ça ne serve leurs intérêts comme en Irak.
Comme par hasard, c'est la Corée du Nord qui est désignée. Ca tombe au bon moment ! A quand les frappes sur ce pays ? :roll:
3 pièce(s) jointe(s)
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière WannaCry ?
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry,
en partant d'un CV comme indice ?
Le 6 septembre, le ministère de la Justice des États-Unis a officiellement accusé un développeur nord-coréen d’être parmi les instigateurs de certaines des plus grandes cyberattaques de ces dernières années.
Selon l'acte d'accusation de 176 pages, Park a travaillé pour Chosun Expo Joint Venture, une entreprise qui serait liée à une unité de renseignement militaire nord-coréenne appelée Lab 110 mais qui se fait passer pour une entreprise de jeu et paris en ligne.
Park ferait partie d’une unité connue sous le nom de "Lazarus Group", que les États-Unis allèguent également liée à d’autres campagnes de spear phishing, à des attaques par logiciels malveillants et à la tentative de vol de documents et d’argent des banques d’Asie du Sud-Est et d’Afrique.
Le hacker nord-coréen a été inculpé d'un chef d'accusation de complot en vue de commettre une fraude informatique et d'un autre chef de complot en vue de commettre une fraude électronique. L’accusation de fraude informatique peut conduire à cinq ans d’emprisonnement au maximum, tandis que la fraude électronique peut aller jusqu’à 20 ans.
Il est peu probable que Park soit extradé car les États-Unis n’ont pas de relations formelles avec la Corée du Nord.
Les différentes attaques qui lui sont attribuées
Le piratage de Sony Pictures en novembre 2014 a conduit à la publication de milliers de courriers électroniques internes, de documents et d'autres informations telles que les salaires et les films non publiés.
L'attaque a eu lieu avant la sortie du film de comédie The Interview, qui dépeint un complot fictif de la CIA visant à tuer le dirigeant nord-coréen Kim Jong-un.
Un mois plus tard, des responsables américains ont accusé la Corée du Nord de l'attaque, une accusation soutenue par plusieurs organisations, dont une liée au gouvernement sud-coréen.
La cyberattaque WannaCry a eu lieu en 2017 lorsque le ransomware a infecté environ 300 000 ordinateurs. Il fallait que les personnes touchées par le virus paient une certaine somme en Bitcoin pour accéder à leurs fichiers à nouveau.
Une autre attaque informatique de grande envergure que les États-Unis avaient attribués à la Corée du Nord était le transfert illicite de 81 millions de dollars d’une banque bangladaise en 2016.
En somme, selon l’acte d'accusation du DOJ de 179 pages, les États-Unis estiment que Park Jin Hyok, un Nord-Coréen de 34 ans, est l'une des nombreuses personnes à l'origine d'une longue série d'attaques de malwares et d'intrusions, telles que:
- le ransomware WannaCry qui a fait beaucoup parlé de lui en 2017;
- les tentatives de piratage de l'entrepreneur de défense américain Lockheed Martin en 2016;
- Les opérations lancées contre la Banque centrale du Bangladesh 2016;
- L’intrusion chez Sony Pictures Entertainment en 2014;
- L’intrusion dans les systèmes des chaînes américaines de cinéma AMC Theatres et Mammoth Screen en 2014;
- Une longue série de piratages d'organisations de médias, de banques et d'entités militaires sud-coréennes sur plusieurs années et;
- des piratages de banques à travers le monde de 2015 à 2018.
Le CV qui met sur la voie
La Chosun Expo Joint Venture s'est engagée à la fois dans le hacking et dans les affaires régulières, travaillant avec des clients sur des projets logiciels et informatiques et utilisant des services de messagerie gratuits, notamment Gmail, selon la plainte pénale. L’acte d’accusation souligne qu’un indice a permis aux enquêteurs de progresser lorsque le prétendu supérieur de Park a envoyé son CV et sa photo à une autre entreprise dans le cadre de ses opérations technologiques quotidiennes.
Les enquêteurs ont consulté environ 1 000 comptes de messagerie et de médias sociaux en utilisant une centaine de mandats de recherche et les ont utilisés pour rassembler une image des hackers et de leurs opérations, selon la plainte.
Eric Chien, directeur technique de la réponse de sécurité chez Symantec Corp., une société de sécurité numérique basée à Mountain View, en Californie, qui suit le Lazarus Group et est cité dans le rapport du ministère de la Justice, a déclaré que les hackers vont probablement changer leur infrastructure mail. "Nous nous attendons à une accalmie, puis à une reprise d’activité", a déclaré Chien dans une interview.
Les choses se précisent
L’acte d’accusation du Département de la justice, l’un des plus importants en son genre en ce qui concerne le nombre de pages, énumère une vaste gamme d’adresses électroniques utilisées pour enregistrer des noms de domaine et acheter des services d’hébergement utilisés dans tous les cas.
Il inclut également les adresses IP utilisées pour accéder aux serveurs de commande et de contrôle des logiciels malveillants, aux comptes de médias sociaux et aux serveurs piratés hébergeant des logiciels malveillants utilisés dans les attaques.
Les responsables affirment avoir identifié les comptes de messagerie et de médias sociaux que Park utilisait lors de son travail à Chosun Expo, ainsi que les comptes de messagerie et de médias sociaux utilisés par Lazarus Group pendant ses quatre années de piratage.
Les enquêteurs signalent en particulier un personnage faux nommé "Kim Hyon Woo" qui semble avoir des liens par adresse IP ou par adresse électronique avec les opérations de piratage de Lazarus et leurs victimes.
Mais les responsables ont déclaré que malgré les efforts déployés par Park pour ne pas utiliser son personnage, ses e-mails et ses adresses IP réels pour accéder à l’infrastructure du Groupe Lazarus et aux serveurs piratés, il a finalement laissé des traces reliant ses comptes réels au personnage:
« Les connexions entre les comptes Expo Chosun de PARK et les comptes Kim Hyon Woo incluent un accès partagé à une archive .rar cryptée, un enregistrement des comptes Kim Hyon Woo dans le carnet d'adresses de Chosun Expo Accounts, un accès à ces comptes à partir des mêmes adresses IP, entre autres ».
Les fonctionnaires sont persuadé que les comptes en ligne associés au personnage "Kim Hyon Woo" ont été utilisés par plusieurs opérateurs, et ils sont convaincus que Park était l'un d'entre eux.
De plus, en raison de ses antécédents en matière de programmation, ils croient également qu’il a participé à la création du logiciel malveillant Lazarus Group.
Lequel, les fonctionnaires du DOJ ne sont pas certains. Mais ils ont souligné qu'il existe d'innombrables liens entre les différents logiciels malveillants auxquels les opérateurs du groupe Lazarus ont eu recours au fil des ans.
« Les échantillons WannaCry et Trojan.Alphanc ont tous deux utilisé l'adresse IP 84.92.36.96 comme adresse IP de commande et de contrôle. Cette adresse IP était également une adresse de commande et de contrôle pour un échantillon de logiciels malveillants obtenus par le FBI, qui supprime une charge utile de logiciels malveillants de la même manière que les autres logiciels malveillants que les sociétés de cybersécurité privées ont attribués au Groupe Lazarus, ainsi que d’autres utilisés pour cibler Lockheed Martin. Le 29 février et le 1er mars 2016, une adresse IP nord-coréenne connectée à cette adresse IP. [...] Plus précisément, cette adresse IP nord-coréenne a été utilisée pour accéder au serveur Web compromis, le 8 janvier 2016; les 22 et 27 janvier 2016, il s'est également connecté à un ordinateur compromis en Caroline du Nord infecté par des logiciels malveillants liés à l'attaque de SPE; et, le 10 mars 2016, il a été utilisé pour accéder à un profil Facebook auquel il était possible d'accéder depuis l'adresse IP nord-coréenne # 2 le 13 décembre 2015 ».
L’acte d’accusation présente plus de détails de ces connexions et développe un maillage complexe qui relie toutes les infrastructures du groupe Lazarus, puis mène au faux personnage de Kim Hyon Woo, puis aux comptes de Chosun Expo connus auparavant pour avoir appartenu à Park.
Source : acte d'accusation (au format PDF)
Et vous ?
:fleche: Cela vous semble-t-il suffisamment crédible ou estimé vous qu'il y ait des chances que ce ne soient que des conjectures malheureuses ?
Voir aussi :
:fleche: Le CEO de Google refuse de s'exprimer devant le Sénat américain sur l'ingérence russe lors des élections US de 2016
:fleche: Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation
:fleche: Sony capitule face aux menaces des pirates et renonce à sortir son film « The Interview », provoquant ainsi la colère de nombreux acteurs
:fleche: Piratage de Sony : des hackers menacent de lancer une attaque terroriste contre les salles de cinéma qui vont projeter le film « The Interview »
:fleche: Sony Pictures victime d'un piratage par la Corée du Nord ? L'attaque pourrait être une riposte suite à la sortie du film 'The Interview'
Vous avez dit Corée du nord ?
Quand la Corée du nord publie une info, on est en droit de discuter cette info.
La Corée du nord est une dictature et elle n'hésitera pas à sacrifier un pauvre citoyen qui n'a rien à voir dans l'affaire !
Vous devriez avoir honte de diffuser ce type d'info invérifiable ! :weird: