WannaCrypt, Wana Decrypt0r 2.0, WanaDecryptor, WanaCrypt0r, WCrypt, WCRY, WannaCry… initialement, la cyberattaque qui a démarré vendredi 12 mai semblait limitée à la sécurité sociale britannique [National Health Service (NHS)]. Toutefois, en quelques heures, le malware a été signalé dans le monde entier. Il aurait déjà frappé près de 200.000 entreprises dans 150 pays, notamment la Russie, l’Espagne, l’Allemagne, les États-Uniset la France. Les victimes incluent des entreprises très connues, comme FedEx, Renault, Nissan, Deutsche Bahn et Telefonica.
De multiples vecteurs d’attaque
Ce rançongiciel ou »ransomware » exploite plusieurs vecteurs d’attaque. Toutes les versions du système d’exploitation de Microsoft antérieures à Windows 10 sont ainsi vulnérables si elles ne possèdent pas le correctif MS17-010. Microsoft Windows XP et Microsoft Server 2003 sont particulièrement touchés puisque, jusqu’à ce vendredi, aucun correctif n’était disponible pour endiguer cette faiblesse. Le vecteur d’attaque principal est l’e-mail. WannaCrypt utilise le piratage psychologique ou des techniques d’hameçonnage. Il compte sur le fait que les utilisateurs vont ouvrir et exécuter la charge de traitement malveillante intégrée à l’e-mail. Le malware s’installe alors et commence immédiatement à crypter les fichiers. Ensuite, WannaCrypt tente de se répandre sur le réseau ou via Internet, à l’aide d’un code d’exploitation de la vulnérabilité CVE-2017-0145, qui permet aux pirates distants d’exécuter un code arbitraire par le biais de paquets spécialement conçus à cet effet sur un serveur SMBv1. Cela s’appelle la »Vulnérabilité Windows SMB d’exécution de code à distance ». Cette faille existe uniquement avec le protocole SMB v1.0. Microsoft a publié un correctif en mars : Bulletin de sécurité Microsoft MS17-010. Toutes les versions de Windows sont concernées, de Windows XP à Server 2016. Par défaut, SMBv1 est activé sur ces systèmes. Windows 10 n’est pas concerné. Le 13 mai, Microsoft a publié un correctif de sécurité d’urgence pour les versions de Windows non prises en charge, notamment Windows XP, Vista, Windows 8, et Server versions 2003 et 2008.
Rançon demandée : entre 300 et 600 dollars
Le ver contient du code ‘rm’ qui supprime des fichiers. Il incorpore également un mécanisme de redémarrage qui semble réinitialiser le ver s’il plante. Outre la rançon, ce ver crée une boucle dans toutes les sessions de bureau à distance (RDP) d’un système afin d’exécuter le ransomware sous le nom de l’utilisateur connecté. Il semble également installer la porte dérobée »Doublepulsar » qui pourrait faciliter l’exécution de codes à distance à l’avenir. Et il endommage les volumes « fantômes » (Shadow), ce qui rend la récupération plus difficile. Il est à remarquer que cette corruption des copies de volume fantôme signifie également que les antivirus nouvelle génération ont du mal à inverser l’impact si le ver n’est pas détecté avant son exécution. Au final le rançongiciel demande, en moyenne, entre 300 et 600 dollars par ordinateur infecté.
Sans doute une nouvelle variante dans les jours à venir
Un chercheur en malware a trouvé par accident un « point de blocage » dans WannaCrypt. Il est lié à la détection d’un certain domaine fixe. Si ce domaine renvoie avec succès une réponse HTTP, ce point de blocage empêche la propagation du ver. Attention, si la machine infectée ne parvient pas à accéder à ce domaine, le point de blocage du ver n’est pas activé. Il n’y a qu’une seule tentative d’accès possible. Bien que ce point de blocage ait ralenti la propagation de ce ransomware et donné aux entreprises le temps de lui appliquer un correctif, une nouvelle variante va sans doute apparaître dans les jours à venir. « Rien que dans la journée de dimanche, on a identifié trois nouvelles variantes. Personne ne doit remettre à plus tard l’application des correctifs. Ce ransomware se répand comme la peste, explique Phil Richards, CSO d’Ivanti, spécialisé dans l’intégration et de l’automatisation des tâches IT critiques. Ce ver ressemble à une variante de WanaDecryptor, un type de ransomware relativement récent. Environ 30 % des fournisseurs d’antivirus offrent actuellement des définitions de virus capables d’identifier correctement ce ransomware et de le bloquer. Kaspersky et BitDefender le gèrent correctement tous les deux. Pour le moment, il n’existe aucun code public de décryptage (craquage). Ce malware modifie des fichiers dans les répertoires /Windows et /windows/system32, et répertorie les autres utilisateurs du réseau pour les infecter. Ces deux actions nécessitent des privilèges d’administration. »
Comment en venir à bout ?
Ce ransomware attaque par hameçonnage ou autre piratage psychologique via un e-mail. Formez votre personnel à ne jamais cliquer sur un e-mail inconnu ou malveillant. Mettez immédiatement à jour vos correctifs Microsoft, en particulier MS17-010, qui ralentit la prolifération de ce ransomware – le mieux étant de ne pas utiliser de système d’exploitation Windows. Exécutez un antivirus efficace sur tous vos postes client. Si vos définitions de virus sont vieilles de plus d’une semaine, votre antivirus ne reconnaîtra pas ce ransomware. Limitez les privilèges Administrateur et autorisez uniquement l’exécution des logiciels sur liste blanche. Ce malware n’aurait pas fait autant de victimes s’il n’avait pas eu accès aux privilèges Admin, et il n’aurait pas pu s’exécuter du tout s’il y avait eu une liste blanche de logiciels.
Erick Haehnsen
Commentez