1 pièce(s) jointe(s)
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière WannaCry ?
Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale
Des rançons de 300 $ minimum sont exigées
De nombreuses institutions publiques en Angleterre et en Espagne subissent actuellement le siège de rançongiciels. La firme de sécurité Avast a, via un billet de blog publié hier, révélé que dans chacun des pays dont il est fait mention, il ne s’agit que d’un seul et même acteur malicieux, le ransomware WCry.
D’après ce que rapporte la firme de sécurité Avast, le ransomware WCry (WanaCrypt0r) a commencé à être actif au mois de février. Il s’est depuis lors fortement répandu avec désormais 75 000 infections à son actif dans 99 pays, dont 57 000 détectées par la firme pour la seule journée d’hier. Il s’agit d’un pic d’activité très important qui n’a pas épargné de nombreuses institutions publiques en Europe, mais également en Asie avec le cas Taiwan.
C’est d’ailleurs ce que rapporte également le Blackpool Gazette pour ce qui est de l’Angleterre. Le réseau du service national de santé (en anglais NHS pour National Health Service) est fortement atteint par ce qui est considéré comme un « incident majeur ». Le système de gestion des rendez-vous utilisé par les médecins généralistes et certains services téléphoniques sont actuellement paralysés par le ransomware. Un employé des services informatiques du réseau, s’exprimant sous anonymat, a déclaré au micro de Blackpool Gazette que « 25 à 30 formations hospitalières sous la tutelle du NHS sont touchées. Les lecteurs partagés par les utilisateurs du réseau sont verrouillés. Il n’y a rien que nous puissions faire ».
Pour ce qui est de l’Espagne, Reuters rapporte que Telefonica fait lui aussi l’objet du même siège. Il s’agit apparemment d’une première puisque Chris Wysopal, responsable cybersécurité chez Veracode déclare que « voir un grand opérateur de télécommunications comme Telefonica être frappé va sûrement inquiéter tout le monde. Les ransomwares affectent désormais les grandes entreprises dotées d’un arsenal plus important en matière de protection contre les cyberattaques ». Et Chris Camacho, responsable stratégie de la firme de sécurité Flashpoint, poursuivant dans la même lancée, d’ajouter que « maintenant que les cybercriminels savent qu’ils peuvent mettre les géants à mal, ils vont se mettre à viser de plus en plus de très grandes entreprises et il se pourrait bien que certaines n’y soient pas préparées ».
Reuters ajoute que pour le moment aucun des services délivrés par le géant des télécommunications n’a été touché, ce qui l’exempte, du moins pour le moment, du paiement de la traditionnelle rançon exigée par les auteurs de ces actes. Le réseau du NHS pour sa part sera peut-être obligé de se plier à la demande des hackers dont les détails sont connus. Le Blackpool Gazette rapporte en effet que les machines du réseau affichent pour la plupart une fenêtre (cf. image ci-dessous) qui donne des détails sur le montant exigé et les délais. Pour le cas du réseau du NHS, chaque appareil pris en otage par le ransomware verra ses données déchiffrées pour le montant de 300 $. Petite précision cependant, le versement doit être effectué au plus tard lundi via l’adresse bitcoin spécifiée, ce sans quoi le prix sera doublé.
La firme Avast a tenu à rappeler que ce ransomware n’est pas le fruit du néant, mais qu’il utilise un exploit découvert par la NSA et récemment divulgué par le groupe Shadow Brokers. L’exploit est connu sous les noms ETERNALBLUE et MS17-010. Cette faille a fait l’objet d’un bulletin de sécurité publié par Microsoft en date du 14 mars. Ceci suppose que les utilisateurs qui tiennent leur système d’exploitation à jour devraient être protégés contre des intrusions comme celle que le ransomware WCry mène actuellement.
Sources : Blog Avast, Blackpool Gazette
Et vous ?
:fleche: Qu’en pensez-vous ?
Voir aussi :
:fleche: USA : la moitié des petites et moyennes organisations victimes de ransomware payent la rançon, d'après un rapport de Carbonite
:fleche: Royaume-Uni : le ransomware Globe2 responsable de la fermeture de plusieurs hôpitaux, dont les systèmes avaient été infectés
Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS
Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS,
XP reçoit ainsi son premier patch en trois ans
Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.
Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.
Le logiciel malveillant s’appuie sur une faille de Windows exploitée par la NSA pour ses opérations d’espionnage et que Microsoft avait colmatée en mars 2017. Cette faille a fait l'objet de l'un des outils qui ont fuité en avril au nom de code EternalBlue. Les pirates ont vite fait de se servir de cette information à leur profit. Selon le CCN-CERT, l’équipe nationale d'intervention en cas d'urgence informatique de l'Espagne, c’est grâce à cette faille que le ransomware peut se propager aussi vite.
Répertoriée MS17-010, la faille réside dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local. Les logiciels malveillants qui exploitent les défauts de SMB pourraient être extrêmement dangereux au sein des réseaux d'entreprise, car le composant de partage de fichiers peut aider le système de ransomware à se propager rapidement d'une machine infectée à une autre.
Microsoft réagit
« Aujourd'hui, beaucoup de nos clients à travers le monde et les systèmes critiques dont ils dépendent ont été victimes du logiciel malveillant "WannaCrypt". Voir les entreprises et les personnes touchées par les cyberattaques, comme celles rapportées aujourd'hui, était pénible. Aussi, Microsoft a travaillé tout au long de la journée pour nous assurer que nous avons compris l'attaque et pris toutes les mesures possibles pour protéger nos clients », a expliqué vendredi dernier Phillip Misner, un gestionnaire principal du groupe de sécurité du Microsoft Security Response Center (MSRM).
« En outre, nous prenons l'étape très inhabituelle consistant à fournir une mise à jour de sécurité pour tous les clients afin de protéger les plateformes Windows qui sont uniquement en support personnalisé, y compris Windows XP, Windows 8 et Windows Server 2003. Les clients qui utilisent Windows 10 n'ont pas été ciblés par l'attaque aujourd'hui », a-t-il poursuivi.
Une autre option d’atténuation ?
Selon des chercheurs en sécurité, le code du ransomware contient un kill switch qui semble fonctionner comme suit : si le programme malveillant ne peut pas se connecter à un nom de domaine non enregistré, il procédera à l'infection. Si la connexion réussit, le programme arrête l'attaque. Un chercheur en sécurité, qui répond au pseudonyme MalwareTech, a constaté qu'il pouvait activer le kill switch en enregistrant le domaine Web et en publiant une page dessus.
L'intention originale de MalwareTech était de suivre la propagation du ransomware dans le domaine auquel il contactait. « Il nous est apparu que l'un des effets secondaires de l'enregistrement du domaine a empêché la propagation de l'infection », a-t-il déclaré dans un courriel.
L’entreprise de sécurité Malwarebytes et le groupe de sécurité Talos de Cisco ont signalé les mêmes résultats et ont déclaré que les nouvelles infections de ransomware semblent avoir ralenti depuis que le kill switch a été activé.
Cependant, le chercheur de Malwarebytes, Jérôme Segura, a déclaré qu'il était trop tôt pour dire si le kill switch empêcherait les attaques de Wana Decryptor pour de bon. Il a prévenu que d'autres versions de la même souche de ransomware peuvent avoir été déployées et ont corrigé le problème du kill switch ou sont configurées pour contacter un autre domaine Web.
Malheureusement, les ordinateurs déjà infectés par Wana Decryptor resteront infectés, a-t-il regretté.
Le ransomware a été conçu pour fonctionner dans de nombreuses langues, y compris l'anglais, le chinois et l'espagnol, avec des notes de rançon dans chacune d'entre elles.
Segura a conseillé aux victimes de ne pas payer la rançon parce qu'elle encourage les pirates. Au lieu de cela, il dit qu'ils devraient attendre les prochains jours tandis que les chercheurs en sécurité étudient le code du ransomware et tentent de trouver des moyens gratuits de résoudre l'infection.
Nouvelles variantes du ransomware :
Comme le supposaient les chercheurs, de nouvelles variantes sont apparues. Matt Suiche, Microsoft MVP, a confirmé qu’il y en avait deux types : avec un kill switch (cette fois-ci un nouveau domaine non enregistré qu’il a pu bloquer en enregistrant le nom de domaine) et sans le kill switch, qui semble ne fonctionner que partiellement. « Le fait que la variante sans le kill-switch ne fonctionne que partiellement est probablement une erreur temporaire des pirates. Rappelez-vous, même si la décompression du ransomware ne fonctionne pas, la diffusion par ETERNALBLUE & DOUBLEPULSAR quant à elle fonctionne toujours », a rappelé Matt Suiche.
Et de souligner que « Le fait que j'ai enregistré le nouveau kill-switch aujourd'hui pour bloquer les nouvelles vagues d'attaques n'est qu'un soulagement temporaire qui ne résout pas le problème réel, à savoir que de nombreuses entreprises et infrastructures critiques dépendent toujours des systèmes d'exploitation existants et qui ne sont plus supportés », a-t-il conclu.
Source : Microsoft, nouvelles variantes, Malwarebytes, Talos Cisco
Avec Linux les attaques aurait été tres réduites
Aujourd'hui Microsoft veut embarquer des systèmes linux sous windows, afin de faire passer des utilisateurs des deux systèmes sous windows. J'espère que des situations comme celle-ci vont révéler au grand jour le problème des licences propriétaires pour les entreprises, les mastodontes comme Microsoft abandonne les versions des systèmes afin de forcer les clients à migrer vers des nouvelles versions qui demande encore des investissements colossaux pour se mettre à niveau.
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes,
et aux gouvernements leurs responsabilités dans ces types d'attaques
En commençant d'abord au Royaume-Uni et en Espagne, le logiciel malveillant baptisé WannaCrypt s'est rapidement répandu dans les systèmes d’informations de nombreux autres pays, empêchant les utilisateurs d’avoir accès à leurs données à moins qu’ils n’aient payé une rançon en bitcoins de 300 dollars.
Pour faciliter sa diffusion, les pirates se sont appuyés sur un exploit, au nom de code EternalBlue, utilisé par la NSA qui a été diffusé récemment et qui s’appuie sur une faille dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local.
Microsoft assure avoir colmaté cette faille le 14 mars dernier avec une mise à jour de sécurité. L’Américain note que bien que ces systèmes et ordinateurs Windows plus récents protégés aient permis à Windows Update d'appliquer cette dernière mise à jour, nombreux sont les ordinateurs qui ne l’ont pas appliquée à l'échelle mondiale. En conséquence, les hôpitaux, les entreprises, les gouvernements et les ordinateurs dans les maisons ont été touchés.
Face à la propagation de l’attaque, Microsoft a dû réagir et a fourni à Windows XP son premier correctif de sécurité en trois ans. Windows 8 et Windows Server 2003 ont eux aussi eu droit à un correctif de sécurité.
Brad Smith, qui est le juriste en chef de Microsoft, n’a pas manqué de souligner que cette attaque démontre dans quelle mesure la cybersécurité est devenue une responsabilité partagée entre les entreprises technologiques et les clients : « Le fait que tant d'ordinateurs sont restés vulnérables deux mois après la publication d'un patch illustre cet aspect. À mesure que les cybercriminels deviennent plus sophistiqués, il n'y a aucun moyen pour les clients de se protéger contre les menaces à moins qu'ils ne mettent à jour leurs systèmes. Sinon, ils luttent littéralement contre les problèmes du présent avec des outils du passé. Cette attaque est un rappel puissant que les bases de la technologie de l'information comme garder les ordinateurs à jour et patchés sont une responsabilité élevée pour tous ».
Il en a également appelé à la responsabilité de l’État : « Cette attaque fournit un autre exemple de la raison pour laquelle le stockage des vulnérabilités par les gouvernements est un problème. Il s'agit d'un modèle émergent en 2017. Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité volée de la NSA a touché des clients à travers le monde. À plusieurs reprises, les exploits entre les mains des gouvernements se sont répandus dans le domaine public et ont causé des dégâts répandus. Un scénario équivalent avec des armes conventionnelles serait l'armée américaine dont certains de ses missiles Tomahawk sont volés. Et cette attaque la plus récente représente un lien complètement involontaire, mais déconcertant entre les deux formes les plus sérieuses de menaces de la cybersécurité dans le monde d'aujourd'hui : l'action de l'État-nation et l'action criminelle organisée. »
Pour lui, les gouvernements du monde devraient considérer cette attaque comme un réveil : ils devraient adopter une approche différente et adhérer dans le cyberespace aux mêmes règles appliquées aux armes dans le monde physique. « Nous avons besoin que les gouvernements envisagent les dommages causés aux civils par l'accumulation de ces vulnérabilités et l'utilisation de ces exploits. C'est une des raisons pour lesquelles nous avons appelé en février une nouvelle “Convention Numérique de Genève” qui régit ces problèmes, y compris une nouvelle exigence pour les gouvernements de signaler les vulnérabilités aux vendeurs plutôt que de les stocker, de les vendre ou de les exploiter. Et c'est pourquoi nous avons promis notre soutien pour défendre chaque client partout dans le monde face aux cyberattaques, indépendamment de leur nationalité. Ce week-end, que ce soit à Londres, à New York, à Moscou, à Delhi, à Sao Paulo ou à Pékin, nous mettons ce principe en action et en travaillant avec des clients à travers le monde ».
Source : Microsoft