Attaque du ransomware Wannacry : Définition, dommages & Défense

WannaCry est le cryptoworm ransomware à l'origine de la célèbre cyberattaque mondiale de 2017.

Au printemps 2017, des personnes du monde entier ont démarré leur ordinateur et ont reçu un message effrayant. Quelqu'un avait crypté tous leurs fichiers et, à moins que la victime ne paie en bitcoins, ces données resteraient verrouillées à jamais. 

Le pirate informatique a conçu WannaCry ransomware en pensant à la vitesse et au vol. Un ordinateur infecté peut propager le virus à d'autres. Bientôt, les bureaux, les usines et même les hôpitaux ne peuvent plus fonctionner normalement. 

Les chercheurs et les programmeurs ont uni leurs efforts, et le virus a perdu beaucoup de mordant au cours du printemps et de l'été. Mais si vous avez un ordinateur plus ancien et que vous n'avez pas pris de mesures pour protéger votre système informatique depuis 2017, vous pouvez encore être en danger. 

Les attaques de ransomware ne se sont pas arrêtées avec WannaCry. En fait, cette réussite semble inciter les pirates à essayer de nouvelles approches. Il est essentiel pour chaque entreprise de travailler sur les défensesransomware .

Le monde rencontre WannaCry

Le virus WannaCry découle de trois facteurs critiques : des secrets gouvernementaux, un système d'exploitation partagé et un pirate informatique.

WannaCry est né de la fuite par un hacker d'outils développés par le gouvernement américain. Ces outils ont exploité les vulnérabilités des systèmes d'exploitation Windows. Leur publication a fait scandale. Pour le hacker, ces informations représentent une opportunité.

a manipulé ces outils pour diffuser le virus WannaCry malware dans le monde entier. Le virus était doté d'un système de réplication intégré, de sorte qu'un ordinateur infecté pouvait en attirer d'autres dans le réseau. 

WannaCry a infecté environ 300 000 ordinateurs dans 150 pays, et le coût final des dommages s'est chiffré en milliards. Parmi les victimes les plus connues, on trouve des hôpitaux et des cliniques au Royaume-Uni et des constructeurs automobiles en Europe. Mais de nombreuses petites entreprises ont également été touchées par ce programme. 

La détection de l'infection a été facile. Regardez votre écran d'ordinateur et vous verrez un message avec :

• Une explication. Le ver cryptographique chiffrait vos fichiers de données et vous ne pouviez pas dépasser l'écran de verrouillage.
• Instructions. On vous a demandé de transférer des bitcoins dans l'un des trois portefeuilles publics pour avoir accès à vos fichiers.
• Avertissements. Si vous ne payez pas les frais dans le délai fixé par le pirate, celui-ci vous dit que vous ne récupérerez jamais vos fichiers.

De nombreuses personnes ont payé. En mai 2017, les victimes avaient versé plus de 27 000 dollars au pirate, et les gens pouvaient voir les portefeuilles de bitcoins se remplir avec d'autres paiements. Mais il n'a jamais été précisé si ces personnes avaient à nouveau accès à l'information.

Qu'est-ce que le ransomware WannaCry ? 

WannaCry est un cryptoworm ransomware qui a fonctionné sur des ordinateurs fonctionnant sous Microsoft Windows. 

L'infection suit généralement ce processus :

• Exposition : votre ordinateur a été choisi au hasard en étant connecté à un réseau infecté. Vous n'aviez pas besoin de toucher un courrier électronique infecté ou de cliquer sur un lien corrompu : le programme vous trouvait via le réseau. 
• Vérifiez : Le programme a tenté d'accéder à une très longue et étrange web tbd. Si le service informatique a pu se connecter, le virus n'a rien fait. Dans le cas contraire, le virus a commencé à s'exécuter. 
• Crypter : Le ver cryptographique a chiffré tous les fichiers auxquels votre ordinateur avait accès, un par un. 
• Attaque : Votre ordinateur a cherché à infecter d'autres personnes. Les services informatiques pourraient mettre sur écoute tous les autres ordinateurs non protégés de votre réseau. 
• Attention : Un nouvel écran de verrouillage s'affiche, vous informant du piratage et de la marche à suivre, y compris des instructions pour envoyer de l'argent.

Nous en savons beaucoup sur le fonctionnement de ce formulaire d'attaque ransomware. Mais au moment de la sortie de l'IT, les experts n'avaient encore rien vu de tel. Personne n'était préparé à un virus aussi répandu et dévastateur. Les experts ont eu besoin de temps pour déchiffrer le code, mais une fois qu'ils l'ont fait, ils peuvent arrêter les technologies de l'information. 

Quatre choses essentielles se sont produites :

1. Microsoft a publié un correctif logiciel qui protège les utilisateurs des logiciels Windows actuels contre les vulnérabilités de WannaCry. Tous les utilisateurs ont été encouragés à télécharger et à appliquer le correctif le plus rapidement possible. 
2. Microsoft a encore agi avec un correctif approprié pour tout formulaire de Microsoft Windows, y compris les très anciennes versions que l'entreprise n'a plus promis de maintenir. Une fois de plus, l'entreprise a encouragé les gens à agir. 
3. Un développeur a examiné le code en profondeur et a repéré le nom tbd recherché par le virus. Ce nom tbd n'avait jamais été enregistré, ce qui signifie que chaque ordinateur cherchant IT n'a jamais trouvé IT (et a donc exécuté le virus). Le développeur a enregistré ce nom tbd, garantissant ainsi que chaque ordinateur infecté n'exécuterait jamais le virus. 
4. Un chercheur a publié une solution qui permet de désinstaller la porte dérobée utilisée par le pirate lors de l'attaque. 

Toutes ces mesures ont permis de mettre fin aux attaques en 2017. Mais si vous avez un ordinateur plus ancien et que vous avez ignoré tout ou partie de ces solutions, vous pouvez encore être infecté par WannaCry aujourd'hui. Si vous pensez ne pas avoir mis à jour votre système d'exploitation depuis, c'est le moment de le faire.

Protégez-vous d'une attaque de ransomware 

Si WannaCry ransomware n'est peut-être pas une menace majeure en 2021 et au-delà, ce n'est pas le seul formulaire de ransomware disponible. En fait, de nombreuses attaques de ce type circulent actuellement dans le cyberespace. 

La Commission fédérale du commerce (Federal Trade Commission) recommande quelques mesures de protection de bon sens sur le site ransomware :

• Mise à jour. Assurez-vous que tous les logiciels que vous utilisez sur votre machine, y compris votre système d'exploitation et votre protection antivirus, sont à jour. 
• Économisez. Sauvegardez vos données dans un espace séparé de votre réseau. 
• Enquêtez. Ne cliquez pas sur des liens étranges dans des messages électroniques et ne téléchargez pas de logiciels à partir de lecteurs zip. 

L'amélioration de votre architecture Zero Trust, la sécurisation de l'accès à toutes vos ressources critiques et la mise en œuvre de contrôles d'authentification solides et faciles à utiliser peuvent également rendre vos organisations moins vulnérables aux attaques ransomware. Pour en savoir plus.

Références

Les Shadow Brokers, qui sont à l'origine de la fuite de la NSA, viennent de publier la version la plus préjudiciable de leur système informatique. (avril 2017), Ars Technica.

Cyber-attaque : Les États-Unis et le Royaume-Uni accusent la Corée du Nord d'être à l'origine de WannaCry. (décembre 2017). BBC. 

Regardez ces portefeuilles Bitcoin recevoir des paiements de ransomware suite à la cyberattaque mondiale en cours. (Mai 2017). Quartz. 

Deux ans après WannaCry, un million d'ordinateurs restent à risque. (mai 2019). Tech Crunch. 

Bulletin de sécurité Microsoft MS17-010-Critique. (mars 2017). Microsoft. 

WannaCry : Vos outils de sécurité sont-ils à jour ? (mai 2017). The National Law Review. 

Les confessions de Marcus Hutchins, l'homme qui a sauvé Internet. (Mai 2020). Câblé. 

La porte dérobée de la NSA détectée sur 55 000 boîtiers Windows peut désormais être supprimée à distance. (avril 2017), Ars Technica. 

Prévention des ransomwares : Une mise à jour pour les entreprises. (Décembre 2020). Commission fédérale du commerce.