Il est difficile d'ignorer les attaques de ransomware de nos jours. Selon le rapport sur la criminalité sur Internet du FBI, les plaintes locales concernant ces menaces ont augmenté de 20 % en 2020. À l'échelle mondiale, les attaques ont augmenté de plus de 60 % entre 2019 et 2020. Non seulement les attaques de ransomware augmentent, mais elles deviennent également plus médiatisées.
Ne laissez pas le ransomware prendre le contrôle de votre appareil
Assurez-vous que votre appareil est protégé contre les ransomwares.
Essayez Malwarebytes Premium gratuitement pendant 14 jours.
Des pipelines pétroliers et hôpitaux aux écoles, banques, et associations caritatives, il semble qu'aucune organisation ne soit à l'abri des attaques de ransomware. Ce ne sont pas seulement les grandes entreprises qui souffrent de ces violations de cybersécurité. Les petites entreprises sont également des cibles et peuvent avoir plus de mal à s'en remettre puisqu'elles disposent généralement de moins de ressources que les grandes entreprises.
Bien que l'attaque mondiale de WannaCry soit survenue en 2017, de nombreux autres types de ransomware ont émergé au cours des années suivantes. Jetons un coup d'œil à WannaCry et à la raison pour laquelle c'était un incident cybernétique majeur.
Qu'était l'attaque de ransomware WannaCry ?
« Oups, vos fichiers ont été chiffrés ! »
En mai 2017, le ransomware WannaCry s'est propagé mondialement via des ordinateurs sous Windows. Près de deux mois auparavant, Microsoft avait publié un correctif de sécurité pour EternalBlue, l'exploit utilisé par les attaquants pour propager WannaCry. Cependant, de nombreux utilisateurs de Windows à travers le monde n'avaient pas mis à jour leur logiciel ou utilisaient des versions obsolètes de Windows, et étaient donc vulnérables à cette attaque à grande échelle.
Les attaquants de WannaCry ont chiffré les ordinateurs Windows à travers le monde et ont exigé une rançon de 300 $ en Bitcoin, ensuite portée à 600 $. Il a infecté environ 230 000 ordinateurs dans 150 pays en quelques heures à peine. Après une propagation initiale rapide, le chercheur en sécurité Marcus Hutchins a découvert un kill switch qui a ralenti de manière significative la diffusion de l'attaque.
Carte de chaleur de l'infection par le ransomware WannaCry
Pourquoi WannaCry a-t-il eu tant de succès ?
Les ransomwares comme WannaCry fonctionnent généralement en chiffrant vos fichiers ou en verrouillant votre système. Ils demandent ensuite un paiement sous forme de cryptomonnaie comme le Bitcoin, car ces devises sont plus difficiles à tracer que les virements électroniques, les chèques ou l'argent liquide. Cependant, WannaCry présente certaines caractéristiques qui le rendent différent d'une attaque de ransomware typique que vous lisez de nos jours.
Les cybergangs utilisent généralement des souches de ransomware pur pour des attaques ciblées. Pensez-y comme un arc et des flèches au lieu d'une catapulte. Le premier est idéal pour atteindre une cible à la fois, tandis que la seconde est meilleure pour frapper plusieurs cibles. Par exemple, le malware et le gang criminel derrière l'attaque de ransomware sur le pipeline colonial semblent s'être concentrés sur une seule cible. Pour introduire le ransomware DarkSide, le gang a apparemment tiré parti d'un mot de passe connu pour un ancien compte de Réseau Privé Virtuel (VPN).
D'un autre côté, WannaCry était plus une catapulte. Il a bel et bien porté son nom en infectant des centaines de milliers d'ordinateurs dans plus de 150 pays en quelques heures. Il n'a épargné personne, touchant rapidement tous types de systèmes via les réseaux d'entreprises. Alors, pourquoi la propagation du ransomworm WannaCry a-t-elle été si vaste et couronnée de succès ?
1. Composant Worm
Un worm est un type de malware qui peut supprimer des fichiers, consommer de la bande passante, et se propager rapidement sans avoir besoin d'un fichier hôte. Il se propage tout seul, ce qui signifie que, contrairement à un virus, il n'a pas besoin d'une activation humaine pour démarrer son activité malveillante. De plus, les worms peuvent déposer des malwares comme des ransomwares. WannaCry a frappé les PC Windows comme une traînée de poudre grâce à son composant worm.
2. Exploits
Un exploit est une vulnérabilité système non corrigée dont un cybercriminel peut tirer parti pour une activité malveillante. La faille exploitée par WannaCry réside dans la gestion du protocole SMB (Server Message Block) par Windows. En résumé, le protocole SMB permet la communication entre nœuds réseaux. Bien que Microsoft ait corrigé ces vulnérabilités en 2017, les acteurs malveillants utilisent les vulnérabilités SMB encore aujourd'hui pour des attaques de type cheval de Troie ou ransomware, car de nombreux utilisateurs de Windows ne téléchargent pas les mises à jour.
Quels secteurs ont été les plus touchés par WannaCry ?
L'attaque WannaCry s'est propagée si rapidement et a infecté tant d'ordinateurs à travers le monde que de nombreuses industries ont été touchées. Celles-ci incluent :
- Soins de santé
- Services d'urgence
- Security
- Logistique
- Télécommunications
- Gaz
- Carburants
- Automobile
- L'éducation
- Publicité
Combien d'ordinateurs WannaCry a-t-il infectés ?
WannaCry a touché environ 230 000 ordinateurs. Le malware a affecté le fonctionnement des hôpitaux, services d'urgence, stations-service, et même des usines. Certaines estimations placent le coût financier de l'attaque à des milliards.
Qui a créé WannaCry ?
Les États-Unis blâment officiellement la Corée du Nord pour l'attaque de WannaCry, et ont même inculpé trois Nord-Coréens pour ce malware ainsi que pour le piratage de Sony Pictures Entertainment en 2014. Fait intéressant, la NSA (Agence de sécurité nationale) aurait également pu jouer un rôle dans l'attaque de WannaCry, bien que de manière involontaire.
Il est allégué que la NSA a découvert la vulnérabilité SMB exploitée par WannaCry. Plus tard, cet outil d'exploitation baptisé EternalBlue aurait été volé à l'organisation de renseignement et divulgué par The Shadow Brokers (TSB), un groupe de hackers.
WannaCry est-il toujours une menace ?
WannaCry est moins une menace en grande partie grâce à l'héroïsme de Marcus Hutchins. Le chercheur en sécurité informatique britannique a développé un kill switch utilisant l'ingénierie inverse et des honeypots qui ont empêché WannaCry de s'exécuter davantage. En outre, une équipe de chercheurs français a trouvé un moyen de déchiffrer certains ordinateurs affectés sans payer la rançon.
Cependant, WannaCry est toujours actif. Assurez-vous de mettre à jour régulièrement votre système d'exploitation Windows pour avoir les derniers correctifs de sécurité. Vous pouvez aussi compter sur la technologie intelligente anti-malware de Malwarebytes pour détecter et supprimer de manière proactive Ransom.WannaCrypt.
Que fait WannaCry si le paiement n'est pas effectué ?
WannaCry demande 300 $ en Bitcoin après avoir verrouillé un système. Plus tard, il double le montant de la rançon. Il menace également de supprimer définitivement vos données sous trois jours. Ici, chez Malwarebytes, nous vous conseillons de ne pas payer les gangs de ransomware, en partie parce que cela encourage davantage de groupes cherchant un moyen rapide de s'enrichir. De plus, il n'y a aucune garantie que vous récupérerez vos fichiers ou votre ordinateur. Par exemple, tous les victimes de WannaCry n'ont pas récupéré leurs fichiers après avoir payé la rançon, possiblement dû à une faille dans le ransomware lui-même.
Quelles sont quelques bonnes stratégies de mitigation contre les ransomwares ?
Pour les appareils que vous utilisez chez vous, utilisez un logiciel antivirus/anti-malware qui protège contre toutes sortes de logiciels malveillants, y compris contre les ransomwares. Pour les entreprises, les stratégies de mitigation contre les ransomwares incluent :
- Utilisez un logiciel de cybersécurité capable de détecter et bloquer les menaces de ransomware.
- Sauvegardez régulièrement vos données, et découpez vos sauvegardes critiques du réseau principal.
- Segmentez votre réseau.
- Bouchez les failles en vérifiant régulièrement les mises à jour de sécurité.
- Soyez vigilant face aux vecteurs de menace de ransomware tels que les emails phishing.
- Définissez des mots de passe complexes et changez-les régulièrement.
- Protégez votre système et vos comptes essentiels avec une authentification à deux facteurs.
Anti-ransomware Malwarebytes pour entreprises
Malwarebytes Endpoint Detection and Response offre des options de réponse allant au-delà des simples alertes, y compris le Linking Engine Remediation propriétaire et le Ransomware Rollback.
Articles sur WannaCry de Malwarebytes Labs
- Microsoft propose un correctif pour éviter une vulnérabilité de niveau WannaCry
- Les dossiers sur les menaces persistantes avancées : Lazarus Group
- Comment les acteurs de la menace utilisent les vulnérabilités des PME
- Toute cette histoire d'EternalPetya me fait penser à WannaCry.
- Mobile Menace Monday : Faux scanner WannaCry
- Vous voulez décrypter vos fichiers ? La solution WannaCry, pour certains
- Comment le ransomworm WannaCry s'est-il propagé ?
- Vous voulez encore pleurer ? Ransomware roundup édition spéciale
- Le ver qui propage WanaCrypt0r