Discussion :

[Patrick Ruiz]

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale
Des rançons de 300 $ minimum sont exigées

De nombreuses institutions publiques en Angleterre et en Espagne subissent actuellement le siège de rançongiciels. La firme de sécurité Avast a, via un billet de blog publié hier, révélé que dans chacun des pays dont il est fait mention, il ne s’agit que d’un seul et même acteur malicieux, le ransomware WCry.

D’après ce que rapporte la firme de sécurité Avast, le ransomware WCry (WanaCrypt0r) a commencé à être actif au mois de février. Il s’est depuis lors fortement répandu avec désormais 75 000 infections à son actif dans 99 pays, dont 57 000 détectées par la firme pour la seule journée d’hier. Il s’agit d’un pic d’activité très important qui n’a pas épargné de nombreuses institutions publiques en Europe, mais également en Asie avec le cas Taiwan.

C’est d’ailleurs ce que rapporte également le Blackpool Gazette pour ce qui est de l’Angleterre. Le réseau du service national de santé (en anglais NHS pour National Health Service) est fortement atteint par ce qui est considéré comme un « incident majeur ». Le système de gestion des rendez-vous utilisé par les médecins généralistes et certains services téléphoniques sont actuellement paralysés par le ransomware. Un employé des services informatiques du réseau, s’exprimant sous anonymat, a déclaré au micro de Blackpool Gazette que « 25 à 30 formations hospitalières sous la tutelle du NHS sont touchées. Les lecteurs partagés par les utilisateurs du réseau sont verrouillés. Il n’y a rien que nous puissions faire ».

Pour ce qui est de l’Espagne, Reuters rapporte que Telefonica fait lui aussi l’objet du même siège. Il s’agit apparemment d’une première puisque Chris Wysopal, responsable cybersécurité chez Veracode déclare que « voir un grand opérateur de télécommunications comme Telefonica être frappé va sûrement inquiéter tout le monde. Les ransomwares affectent désormais les grandes entreprises dotées d’un arsenal plus important en matière de protection contre les cyberattaques ». Et Chris Camacho, responsable stratégie de la firme de sécurité Flashpoint, poursuivant dans la même lancée, d’ajouter que « maintenant que les cybercriminels savent qu’ils peuvent mettre les géants à mal, ils vont se mettre à viser de plus en plus de très grandes entreprises et il se pourrait bien que certaines n’y soient pas préparées ».

Reuters ajoute que pour le moment aucun des services délivrés par le géant des télécommunications n’a été touché, ce qui l’exempte, du moins pour le moment, du paiement de la traditionnelle rançon exigée par les auteurs de ces actes. Le réseau du NHS pour sa part sera peut-être obligé de se plier à la demande des hackers dont les détails sont connus. Le Blackpool Gazette rapporte en effet que les machines du réseau affichent pour la plupart une fenêtre (cf. image ci-dessous) qui donne des détails sur le montant exigé et les délais. Pour le cas du réseau du NHS, chaque appareil pris en otage par le ransomware verra ses données déchiffrées pour le montant de 300 $. Petite précision cependant, le versement doit être effectué au plus tard lundi via l’adresse bitcoin spécifiée, ce sans quoi le prix sera doublé.

La firme Avast a tenu à rappeler que ce ransomware n’est pas le fruit du néant, mais qu’il utilise un exploit découvert par la NSA et récemment divulgué par le groupe Shadow Brokers. L’exploit est connu sous les noms ETERNALBLUE et MS17-010. Cette faille a fait l’objet d’un bulletin de sécurité publié par Microsoft en date du 14 mars. Ceci suppose que les utilisateurs qui tiennent leur système d’exploitation à jour devraient être protégés contre des intrusions comme celle que le ransomware WCry mène actuellement.

Sources : Blog Avast, Blackpool Gazette

Et vous ?

Qu’en pensez-vous ?

Voir aussi :
USA : la moitié des petites et moyennes organisations victimes de ransomware payent la rançon, d'après un rapport de Carbonite
Royaume-Uni : le ransomware Globe2 responsable de la fermeture de plusieurs hôpitaux, dont les systèmes avaient été infectés

[Aiekick]

c'est une bonne opérations pour microsoft ca. certains chaines d’assemblage de Renault sont aussi a l’arrêt comme celle de Revoz en slovenie. j'imagine bien que certain poste outils utilisent du winxp, mais pourquoi connecté a internet ?

bon Microsoft a quand mème publié un patch de sécurité pour winxp, malgré qu'il avait qu'il ne les maintiendrait plus et c'est quand mème une bonne choses d’être responsable sur le coup.

[Christophe]

Lien Microsoft pour les correctifs :
https://technet.microsoft.com/en-us/.../ms17-010.aspx

[Michel]

Bonne opération pour Microsoft ? Pas sur, ce n'est pas très bon pour l'image, même si si Microsoft n'est pas entièrement responsable.
En revanche, pour les hôpitaux anglais et Renault, j'appelle cela du foutage de gueule !
Ces sociétés payent certainement très cher des équipes d'informaticiens pour gérer leurs systèmes et voilà le résultat ! des gens risquent de mourir et l'industrie française est en difficulté.

Est-ce bien sérieux !

[Aiekick]

Bonne opération pour Microsoft ? Pas sur, ce n'est pas très bon pour l'image, même si si Microsoft n'est pas entièrement responsable.
En revanche, pour les hôpitaux anglais et Renault, j'appelle cela du foutage de gueule !
Ces sociétés payent certainement très cher des équipes d'informaticiens pour gérer leurs systèmes et voilà le résultat ! des gens risquent de mourir et l'industrie française est en difficulté.

Est-ce bien sérieux !

beaucoup de monde en peux ce passer de windows, donc que des anciens systems n'ont maintenu ai des failles va les pousser a acheter des version recentes..

enfin bon 200 000 pc infecte c'est pas ce que j'appelle le coup du siecle.

les gens risque de mourir ? c'est la chaine de montage qui a été infectée.. pas le calculateur du véhicule .....

[Aiekick]

marrant personne ne tient pour responsable ceux qui ont diffusé les outils et vulnérabilisées piquées à la NSA. triste monde

[hackoofr]

Voici une carte en direct montrant de nouvelles victimes de Wana Decrypt0r infectées en temps réel. Live Map

[Jipété]

Le problème, là, c'est que vous parlez tous comme des informaticiens, sans voir un autre aspect du monde des utilisateurs : le monde dans lequel un computer est bêtement utilisé pour piloter autre chose, je pense à mon cardiologue qui équipe ses patients pour 24 h avec un appareil portatif qui enregistre toutes les 30 minutes tout un tas de paramètres grâce à des sondes que se trimballe le patient, posées par la secrétaire qui a eu une formation pour ça.

Le lendemain le patient revient, on lui enlève les sondes et l'appareil, qu'on va raccorder à une machine chargée de lui récupérer pour analyse les données captées pendant ces 24 h.
J'ai jeté un œil par-dessus l'épaule de la secrétaire, la machine tourne sous XP.

Et pour que le cardio puisse analyser les données depuis son poste et les archiver dans le dossier du patient, ces machines sont en réseau.

Et pour que le cardio puisse envoyer son rapport au médecin traitant par e-mail, sa machine est connectée à travers une box, et voilà...

Pas la peine de lui parler de mises à jour critiques de sécurité de son vieux XP, même pas il sait qu'il a un XP, ce qu'il sait, c'est qu'il a une machine qui lui permet de récupérer des données pour qu'il les analyse, point barre.

Et quand je vous vois parler de mettre les machines, les parcs, à jour, tout ça parce que les fournisseurs de ces machines les font évoluer exactement comme s'ils s'adressaient à des geeks qui changent de matos tous les 6 mois, ben non, c'est pas comme ça dans le monde des utilisateurs professionnels (je pense aussi à tous ces gens qu'on a obligé à s'équiper, toubibs, infirmiers, etc. Je reste dans le médical mais c'est partout pareil.)

Vous imaginez si les fabricants de carburants décidaient de changer de version tous les 2 ans, obligeant tous les possesseurs de bagnoles camions engins divers et variés etc. à se mettre à jour en changeant de moteur ?
Impensable ?
Ben ça devrait être pareil en informatique.
Qu'on nous fasse des OS sans failles et le problème sera réglé.

Pour faire court et simple : le cardio voit son ordi exactement comme le maçon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a été conçu, un point c'est tout.
Le maçon ne fait pas de mise à jour de sécurité de son outil ? Le toubib non plus.

[MikeRowSoft]

Qu'on nous fasse des OS sans failles et le problème sera réglé.

O.S. et polyvalence vont de paire, désolé...
Quand l'application de messagerie dépend profondément des ressources systèmes, de temps en temps même l'antivirus est impuissant...

[Marco46]

Qu'on nous fasse des OS sans failles et le problème sera réglé.

C'était la phrase of the day.

Se ky fo pour que ya plu de mort, c ke yauré plu de guerre

Pour faire court et simple : le cardio voit son ordi exactement comme le maçon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a été conçu, un point c'est tout.
Le maçon ne fait pas de mise à jour de sécurité de son outil ? Le toubib non plus.

Sauf que la perceuse du maçon n'évolue pas toutes les 2 semaines et qu'elle n'est pas connectée à internet.

Si le toubib veut pouvoir s'en foutre de la dette technique, il débranche le cable réseau de sa machine et résilie son contrat avec son ISP.

C'est comme ça, si tu veux être connecté au monde et suivre les évolutions il y a un prix à payer qui ne correspond pas seulement au prix de la machine, à celui de l'OS, et à la celui de ton abonnement à internet. On peut appeler ça un cout caché, certes, il manque de la formation aux utilisateurs, certes, mais c'est comme ça et pas autrement.

[hotcryx]

Pour faire court et simple : le cardio voit son ordi exactement comme le maçon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a été conçu, un point c'est tout.
Le maçon ne fait pas de mise à jour de sécurité de son outil ? Le toubib non plus.

Faux!
Le maçon s'y connait en perceuse.
Il sait comment changer de mèche, il ne reste pas là comme un con quand la mèche est usée ou qu'elle n'a pas les bonnes dimensions.

Ici on parle de PC (personal computer).
Ca demande un minimum d'investissement personnel.

Branche une console de jeu sur ta télé, tu verras que les gamins arriveront à faire la mise à jour.

Cela dit, l'OS est probablement mal foutu et bourré de bugs.... et ça ce n'est pas la faute du médecin, ni des informaticiens en aval mais du fabriquant d'OS.

[Uther]

Et quand je vous vois parler de mettre les machines, les parcs, à jour, tout ça parce que les fournisseurs de ces machines les font évoluer exactement comme s'ils s'adressaient à des geeks qui changent de matos tous les 6 mois, ben non, c'est pas comme ça dans le monde des utilisateurs professionnels (je pense aussi à tous ces gens qu'on a obligé à s'équiper, toubibs, infirmiers, etc. Je reste dans le médical mais c'est partout pareil.)

Sauf que c'est quand même un problème important et que si on ne peut pas rendre le docteur responsable de tout, un outil sensible et connecté se doit d'avoir un système de mise à jour automatique et silencieuse efficace.

Ben ça devrait être pareil en informatique.
Qu'on nous fasse des OS sans failles et le problème sera réglé.

Sauf que là c'est très mal barré. Je suis le premier à rêver que l'on revoie les OS pour PC de font en comble en surveillant la sécurité aussi sérieusement que dans l'aéronautique, mais pour en arriver là il faudrait des dizaines d'années de travail et un retour en arrière colossal en terme de facilités d'utilisation.
On n'est juste pas prêt à accepter les conséquences de ce qu'impliquerait une réelle sécurisation des micro-ordinateurs.

Pour faire court et simple : le cardio voit son ordi exactement comme le maçon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a été conçu, un point c'est tout.
Le maçon ne fait pas de mise à jour de sécurité de son outil ? Le toubib non plus.

Et bien si : quand les spécifications de l'outil l'exigent, le professionnel fait ou fait faire les opérations de maintenance prévue.
Il y a bien un entretien obligatoire à faire sur pas mal de matériel professionnel, même les particuliers doivent faire l'entretien de leur véhicules, chaudières, ... avec parfois même un contrôle technique obligatoire.

[CaptainDangeax]

Le problème, là, c'est que vous parlez tous comme des informaticiens, sans voir un autre aspect du monde des utilisateurs : le monde dans lequel un computer est bêtement utilisé pour piloter autre chose, je pense à mon cardiologue qui équipe ses patients pour 24 h avec un appareil portatif qui enregistre toutes les 30 minutes tout un tas de paramètres grâce à des sondes que se trimballe le patient, posées par la secrétaire qui a eu une formation pour ça.

Le lendemain le patient revient, on lui enlève les sondes et l'appareil, qu'on va raccorder à une machine chargée de lui récupérer pour analyse les données captées pendant ces 24 h.
J'ai jeté un œil par-dessus l'épaule de la secrétaire, la machine tourne sous XP.

Et pour que le cardio puisse analyser les données depuis son poste et les archiver dans le dossier du patient, ces machines sont en réseau.

Et pour que le cardio puisse envoyer son rapport au médecin traitant par e-mail, sa machine est connectée à travers une box, et voilà...

Pas la peine de lui parler de mises à jour critiques de sécurité de son vieux XP, même pas il sait qu'il a un XP, ce qu'il sait, c'est qu'il a une machine qui lui permet de récupérer des données pour qu'il les analyse, point barre.

Et quand je vous vois parler de mettre les machines, les parcs, à jour, tout ça parce que les fournisseurs de ces machines les font évoluer exactement comme s'ils s'adressaient à des geeks qui changent de matos tous les 6 mois, ben non, c'est pas comme ça dans le monde des utilisateurs professionnels (je pense aussi à tous ces gens qu'on a obligé à s'équiper, toubibs, infirmiers, etc. Je reste dans le médical mais c'est partout pareil.)

Vous imaginez si les fabricants de carburants décidaient de changer de version tous les 2 ans, obligeant tous les possesseurs de bagnoles camions engins divers et variés etc. à se mettre à jour en changeant de moteur ?
Impensable ?
Ben ça devrait être pareil en informatique.
Qu'on nous fasse des OS sans failles et le problème sera réglé.

Pour faire court et simple : le cardio voit son ordi exactement comme le maçon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a été conçu, un point c'est tout.
Le maçon ne fait pas de mise à jour de sécurité de son outil ? Le toubib non plus.

Le maçon met à jour sa perceuse avec quelques gouttes d'huile dans les roulements à intervalle régulier. Il en profite pour graisser aussi la crémaillère de sa bétonneuse. Et ton cardio qui roule en audi qui va au garage tous les 30000 pour vidanger sa boite DSG ne comprend pas que son ordinateur a AUSSI besoin d'un minimum de maintenance préventive ?
Bon sinon, le truc trollesque sur le "vous verrez quand on trouvera la faille sur Linux" et gna gna gna et gna gna gna...
Linux est là depuis 26 et ta super faille genre celle qui a permis wannacrypt (mais avant il y avait eu blaster) on ne l'a toujours pas trouvé. Pourtant, je peux te garantir qu'il y a des types qui cherchent ! Rappelle-moi combien d'infections mondiales ont touché les systèmes MS et uniquement MS depuis 1991 ? ça fait beaucoup. Beaucoup trop. Et pourquoi beaucoup trop ? Parce que MS a conçu ses OS sans reprendre les concepts développés dans Unix qui est dès le départ multi-tâches, multi-utilisateurs, réseau, avec une bonne séparation entre le noyau et les applications, l'utilisateur standard n'a aucun droit de modification sur le système et des fichiers non exécutables par défaut. C'est tellement simple quand je l'écris qu'on se demande pourquoi il n'y a pas eu un mec chez MS pour reprendre ces 2 idées : l'utilisateur n'a aucun droit de modification du système, les fichiers sont non exécutables par défaut. Ton cardiologue, tu lui montes son /home en noexec sur un Linux, ça ne fera aucune différence pour lui au quotidien et aucun fichier venu de l'extérieur ne pourra s'exécuter sur sa machine, le mettant tout simplement à l'abri.

[Nikko78]

Voici la conséquence désastreuse de la politique des états voulant garder ouverte des backdoors.
http://www.7sur7.be/7s7/fr/4134/Inte...mondiale.dhtml

[Christophe]

Ces sociétés payent certainement très cher des équipes d'informaticiens pour gérer leurs systèmes et voilà le résultat ! des gens risquent de mourir et l'industrie française est en difficulté.

Je pondérerais cela car j'ai déjà vu des machines pilotés par logiciel spécifique ne fonctionnant pas sur les nouveaux systèmes. Le logiciel étant lié au matériel, le mettre à jour peut nécessiter le remplacement de la machine outil pouvant représenter des couts très important (exemple chaine de montage, machine d'imprimerie).

[Aeson]

Voici la conséquence désastreuse de la politique des états voulant garder ouverte des backdoors.

Backdoor ? Il suffit de tenir sont OS a jour.... rien a avoir avec des Backdoor...

le remplacement de la machine outil pouvant représenter des couts très important

Ca leur a couté combien maintenant leur politique ?

Apparement cette faille n'est presente que sur Windows xp.. ca veut tout dire...

[Christophe]

Non ça ne touche pas que XP.

[Aeson]

Ca touche les OS Windows XP, Vista, Server 2003 or 2008 qui ne sont pas mit a jour. A part W2008 ce sont tous des OS qui ne sont meme plus supporté. Et un w2008 a jour n'est pas vulnerable

Donc si vous etes infecté c'est clairement votre faute.

[Stéphane le calme]

Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS,
XP reçoit ainsi son premier patch en trois ans

Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Le logiciel malveillant s’appuie sur une faille de Windows exploitée par la NSA pour ses opérations d’espionnage et que Microsoft avait colmatée en mars 2017. Cette faille a fait l'objet de l'un des outils qui ont fuité en avril au nom de code EternalBlue. Les pirates ont vite fait de se servir de cette information à leur profit. Selon le CCN-CERT, l’équipe nationale d'intervention en cas d'urgence informatique de l'Espagne, c’est grâce à cette faille que le ransomware peut se propager aussi vite.

Répertoriée MS17-010, la faille réside dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local. Les logiciels malveillants qui exploitent les défauts de SMB pourraient être extrêmement dangereux au sein des réseaux d'entreprise, car le composant de partage de fichiers peut aider le système de ransomware à se propager rapidement d'une machine infectée à une autre.

Microsoft réagit

« Aujourd'hui, beaucoup de nos clients à travers le monde et les systèmes critiques dont ils dépendent ont été victimes du logiciel malveillant "WannaCrypt". Voir les entreprises et les personnes touchées par les cyberattaques, comme celles rapportées aujourd'hui, était pénible. Aussi, Microsoft a travaillé tout au long de la journée pour nous assurer que nous avons compris l'attaque et pris toutes les mesures possibles pour protéger nos clients », a expliqué vendredi dernier Phillip Misner, un gestionnaire principal du groupe de sécurité du Microsoft Security Response Center (MSRM).

« En outre, nous prenons l'étape très inhabituelle consistant à fournir une mise à jour de sécurité pour tous les clients afin de protéger les plateformes Windows qui sont uniquement en support personnalisé, y compris Windows XP, Windows 8 et Windows Server 2003. Les clients qui utilisent Windows 10 n'ont pas été ciblés par l'attaque aujourd'hui », a-t-il poursuivi.

Une autre option d’atténuation ?

Selon des chercheurs en sécurité, le code du ransomware contient un kill switch qui semble fonctionner comme suit : si le programme malveillant ne peut pas se connecter à un nom de domaine non enregistré, il procédera à l'infection. Si la connexion réussit, le programme arrête l'attaque. Un chercheur en sécurité, qui répond au pseudonyme MalwareTech, a constaté qu'il pouvait activer le kill switch en enregistrant le domaine Web et en publiant une page dessus.

L'intention originale de MalwareTech était de suivre la propagation du ransomware dans le domaine auquel il contactait. « Il nous est apparu que l'un des effets secondaires de l'enregistrement du domaine a empêché la propagation de l'infection », a-t-il déclaré dans un courriel.

L’entreprise de sécurité Malwarebytes et le groupe de sécurité Talos de Cisco ont signalé les mêmes résultats et ont déclaré que les nouvelles infections de ransomware semblent avoir ralenti depuis que le kill switch a été activé.

Cependant, le chercheur de Malwarebytes, Jérôme Segura, a déclaré qu'il était trop tôt pour dire si le kill switch empêcherait les attaques de Wana Decryptor pour de bon. Il a prévenu que d'autres versions de la même souche de ransomware peuvent avoir été déployées et ont corrigé le problème du kill switch ou sont configurées pour contacter un autre domaine Web.

Malheureusement, les ordinateurs déjà infectés par Wana Decryptor resteront infectés, a-t-il regretté.

Le ransomware a été conçu pour fonctionner dans de nombreuses langues, y compris l'anglais, le chinois et l'espagnol, avec des notes de rançon dans chacune d'entre elles.

Segura a conseillé aux victimes de ne pas payer la rançon parce qu'elle encourage les pirates. Au lieu de cela, il dit qu'ils devraient attendre les prochains jours tandis que les chercheurs en sécurité étudient le code du ransomware et tentent de trouver des moyens gratuits de résoudre l'infection.

Nouvelles variantes du ransomware :

Comme le supposaient les chercheurs, de nouvelles variantes sont apparues. Matt Suiche, Microsoft MVP, a confirmé qu’il y en avait deux types : avec un kill switch (cette fois-ci un nouveau domaine non enregistré qu’il a pu bloquer en enregistrant le nom de domaine) et sans le kill switch, qui semble ne fonctionner que partiellement. « Le fait que la variante sans le kill-switch ne fonctionne que partiellement est probablement une erreur temporaire des pirates. Rappelez-vous, même si la décompression du ransomware ne fonctionne pas, la diffusion par ETERNALBLUE & DOUBLEPULSAR quant à elle fonctionne toujours », a rappelé Matt Suiche.

Et de souligner que « Le fait que j'ai enregistré le nouveau kill-switch aujourd'hui pour bloquer les nouvelles vagues d'attaques n'est qu'un soulagement temporaire qui ne résout pas le problème réel, à savoir que de nombreuses entreprises et infrastructures critiques dépendent toujours des systèmes d'exploitation existants et qui ne sont plus supportés », a-t-il conclu.

Source : Microsoft, nouvelles variantes, Malwarebytes, Talos Cisco

[marsupial]

edit : et tu verras, cette mentalité d'exploiter les failles en lieu et place de les signaler afin d'être corrigées va nous retomber sur le coin de la figure maintenant que leurs outils sont dans la nature. Parce que wikileaks détient une grande partie mais pas l'intégralité des outils donc toutes ne seront pas colmatées.

Bref, reprendre le contrôle de la situation maintenant que la boîte de Pandore a laissé échapper le Diable ne va pas être une mince affaire.