WannaCry

WannaCry a été une attaque mondiale de ransomware en mai 2017. Constitue-t-il toujours une menace ? Lisez la suite pour en savoir plus.

.st0{fill:#0D3ECC;} TÉLÉCHARGER GRATUITEMENT MALWAREBYTES

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

De nos jours, il est difficile d'ignorer les attaques de ransomware. Selon l'Internet Crime Report du FBI, les plaintes locales concernant ces menaces ont augmenté de 20 % en 2020. À l'échelle mondiale, les attaques ont augmenté de plus de 60 % entre 2019 et 2020. Non seulement les attaques de ransomware augmentent, mais elles deviennent également plus importantes.

Ne laissez pas un ransomware prendre le contrôle de votre appareil

Assurez-vous que votre appareil est protégé contre les ransomwares.
Essayez Malwarebytes Premium gratuitement pendant 14 jours.

EN SAVOIR PLUS

Qu'il s'agisse d'oléoducs, d'hôpitaux, d'écoles, de banques ou d'organisations caritatives, il semble qu'aucune organisation ne soit à l'abri d'une attaque par ransomware. Les grandes entreprises ne sont pas les seules à souffrir de ces atteintes à la cybersécurité. Les petites entreprises sont également la cible de ransomwares et peuvent avoir plus de mal à survivre car elles disposent généralement de moins de ressources que les grandes entreprises pour se remettre sur pied.

Si l'attaque mondiale WannaCry a eu lieu en 2017, de nombreux autres types de ransomwares sont apparus depuis. Jetons un coup d'œil à WannaCry et aux raisons pour lesquelles il s'est agi d'un cyberincident si important. 

Qu'est-ce que l'attaque du ransomware WannaCry ? 

"Oups, vos fichiers ont été cryptés !"

En mai 2017, le ransomware WannaCry s'est propagé à l'échelle mondiale par le biais d'ordinateurs fonctionnant sur Windows. Près de deux mois auparavant, Microsoft avait publié un correctif de sécurité pour EternalBlue, l'exploit que les attaquants ont utilisé pour propager le ransomware WannaCry. Cependant, de nombreux utilisateurs de Windows dans le monde n'avaient pas mis à jour leur logiciel ou utilisaient des versions périmées de Windows, et étaient donc vulnérables à l'attaque à grande échelle. 

Les attaquants de WannaCry ont crypté Windows ordinateurs dans le monde entier et ont demandé une rançon d'abord de 300 dollars en bitcoins, puis de 600 dollars. Selon les estimations, 230 000 ordinateurs répartis dans 150 pays ont été infectés en l'espace de quelques heures. Après une propagation rapide dans le monde entier, le chercheur en sécurité Marcus Hutchins a découvert un interrupteur qui a considérablement ralenti la propagation de l'attaque. 

Carte de chaleur de l'infection par le ransomware WannaCry

Pourquoi WannaCry a-t-il connu un tel succès ?

Un ransomware comme WannaCry fonctionne généralement en chiffrant vos fichiers ou en verrouillant votre système. Il exige ensuite un paiement sous la forme d'une crypto-monnaie comme le bitcoin, car ces monnaies sont plus difficiles à tracer que les transferts de fonds électroniques, les chèques ou l'argent liquide. Cependant, WannaCry présente certaines caractéristiques qui le distinguent d'une attaque de ransomware typique dont vous entendez parler aujourd'hui.

Les cybergangs utilisent généralement des souches de ransomware pures pour des attaques ciblées. C'est comme un arc et des flèches plutôt qu'une catapulte. Le premier est plus efficace pour atteindre une cible à la fois, tandis que le second est plus efficace pour atteindre plusieurs cibles. Par exemple, le logiciel malveillant et le gang criminel à l'origine de l'attaque du ransomware Colonial Pipeline ne semblaient viser qu'une seule cible. Pour implanter le ransomware DarkSide, le gang a apparemment profité d'un mot de passe connu pour un ancien compte de réseau privé virtuel (VPN).

En revanche, WannaCry était plutôt une catapulte. Il a fait honneur à son nom en infectant des centaines de milliers d'ordinateurs dans plus de 150 pays en quelques heures seulement. Il n'a pas fait de prisonniers, frappant rapidement tous les types de systèmes à travers les réseaux d'entreprises. Pourquoi le ransomworm WannaCry s'est-il propagé à une telle échelle et avec autant de succès ?

1. Composant du ver

Un ver est un type de logiciel malveillant qui peut supprimer des fichiers, consommer de la bande passante et se propager rapidement sans avoir besoin d'un fichier hôte. Il se propage de lui-même, ce qui signifie que, contrairement à un virus, il n'a pas besoin d'une activation humaine pour démarrer son activité malveillante. En outre, les vers peuvent transmettre des malwares tels que des ransomwares. WannaCry s'est répandu comme une traînée de poudre sur les ordinateurs Windows grâce à sa composante ver.

2. Exploits

Un exploit est une vulnérabilité non corrigée d'un système dont un cybercriminel peut tirer parti pour mener des activités malveillantes. La faille exploitée par WannaCry se trouve dans la manière dont Windows gère le protocole SMB (Server Message Block). En bref, le protocole SMB permet aux nœuds du réseau de communiquer. Bien que Microsoft ait corrigé les vulnérabilités en 2017, les acteurs de la menace utilisent les vulnérabilités SMB encore aujourd'hui pour des attaques de chevaux de Troie et de ransomware, car de nombreux utilisateurs de Windows ne téléchargent pas les mises à jour.  

Quels sont les secteurs les plus touchés par WannaCry ?

L'attaque WannaCry s'est propagée si rapidement et a infecté tant d'ordinateurs dans le monde que de nombreux secteurs ont été touchés. Il s'agit notamment de : 

  • Soins de santé
  • Urgence
  • Security
  • Logistique
  • Télécommunications
  • Gaz
  • Essence
  • Automobile
  • L'éducation
  • Publicité

Combien d'ordinateurs WannaCry a-t-il infectés ?

WannaCry a touché environ 230 000 ordinateurs. Le logiciel malveillant a affecté le fonctionnement d'hôpitaux, de services d'urgence, de stations-service et même d'usines. Selon certaines estimations, le coût financier de l'attaque se chiffre en milliards.

Qui a créé WannaCry ?

Les États-Unis accusent officiellement la Corée du Nord d'être à l'origine de l'attaque WannaCry et ont même inculpé trois Nord-Coréens pour le logiciel malveillant et le piratage de Sony Pictures Entertainment en 2014. Il est intéressant de noter que la NSA (National Security Agency) pourrait également avoir joué un rôle dans l'attaque WannaCry, bien que par inadvertance.

La NSA aurait découvert la vulnérabilité SMB exploitée par WannaCry. Plus tard, cet outil d'exploitation appelé EternalBlue aurait été volé à l'organisation de renseignement et divulgué par The Shadow Brokers (TSB), un groupe de pirates informatiques.

WannaCry est-il toujours une menace ?

WannaCry est moins menaçant, en grande partie grâce à l'héroïsme de Marcus Hutchins. Ce chercheur britannique en sécurité informatique a mis au point un kill switch en utilisant l'ingénierie inverse et des honeypots qui ont empêché WannaCry de continuer à s'exécuter. En outre, une équipe de chercheurs français a trouvé un moyen de décrypter certains ordinateurs affectés sans payer de rançon.

Cependant, WannaCry est toujours actif. Veillez à mettre à jour régulièrement votre système d'exploitation Windows pour vous assurer que vous disposez des derniers correctifs de sécurité. Vous pouvez également compter sur la technologie anti-malware intelligente de Malwarebytespour détecter et supprimer Ransom.WannaCrypt de manière proactive.  

Que fait WannaCry s'il n'est pas payé ?

WannaCry demande 300 dollars en bitcoins après avoir verrouillé un système. Plus tard, il double le montant de l'extorsion. Il menace également de supprimer définitivement vos données dans les trois jours. Sur Malwarebytes, nous vous recommandons de ne pas payer les gangs de ransomware, en partie parce que cela encourage les gangs de ransomware qui cherchent un moyen rapide de s'enrichir. En outre, rien ne garantit que vous débloquerez vos fichiers ou votre ordinateur. Par exemple, toutes les victimes de WannaCry n'ont pas récupéré leurs fichiers après avoir payé, peut-être en raison d'une faille dans le ransomware lui-même.  

Quelles sont les bonnes stratégies d'atténuation des ransomwares ?

Pour les appareils que vous utilisez à la maison, utilisez un logiciel antivirus/anti-malware qui vous protège contre tous les types de malwares, y compris les ransomwares. Pour les entreprises, les stratégies d'atténuation des ransomwares sont les suivantes : 

  1. Utilisez un logiciel de cybersécurité capable de détecter et de bloquer les menaces de ransomware. 
  2. Sauvegardez fréquemment vos données et effectuez les sauvegardes critiques à l'aide d'un système d'aération.
  3. Segmentez votre réseau.
  4. Bloquez les exploits en vérifiant régulièrement les mises à jour de sécurité.
  5. Méfiez-vous des vecteurs de menace des ransomwares tels que les courriels d'hameçonnage.
  6. Définissez des mots de passe complexes et changez-les régulièrement.
  7. Protégez votre système et vos comptes essentiels grâce à l'authentification à deux facteurs.

Malwarebytes anti-ransomware pour les entreprises

Malwarebytes La solution Endpoint Detection and Response offre des options de réponse allant au-delà des simples alertes, y compris la remédiation propriétaire Linking Engine et le Rollback Ransomware.

EN SAVOIR PLUS

Articles sur WannaCry Malwarebytes Labs