WannaCry ; autopsie du ransomware boosté par les exploits de la NSA

 

 

La diffusion planétaire de WanaCryptor résulte de l’union d’un ransomware standard et des outils de hacking qui ont fuité de la NSA. Un cocktail détonnant qui a pris au piège Renault, Telefonica ou le système de santé britannique, le NHS.
Il a semé la panique en Espagne, puis dans le monde entier. En quelques heures, le ransomware WannaCry, connu aussi sous le nom WanaCryptor ou WCry, s’est taillé un succès planétaire, multipliant les infections dans plus de 70 pays.

 

 

 

Parmi ses victimes, l’opérateur Telefonica, les banques BBVA et Santander, le fournisseur d’électricité Iberdrola, le logisticien Fedex, la compagnie ferroviaire allemande Deutsche Bahn ainsi que l’opérateur de télécommunications Vodafone, mais aussi, en France, Renault. Le constructeur a admis avoir été pris dans la nasse de WannaCry, entraînant la mise à l’arrêt de certains sites de production afin « d’éviter la propagation du virus ».

Outre-Manche, c’est la NHS, l’organisme gérant la santé des Britanniques, qui a été durement frappé. Son système informatique a quasiment été paralysé par l’attaque entraînant des reports d’interventions jugées non urgentes dans un grand nombre d’hôpitaux.
Au total, outre Manche, 48 entités de la NHS ont été touchées, a reconnu l’organisation, qui n’écarte pas totalement d’éventuelles pertes de données. Samedi après-midi, l’activité de 6 entités de NHS demeurait perturbée. En somme, une cyberattaque d’un « niveau sans précédent » selon Europol. Dans la nuit de vendredi à samedi, un ingénieur de l’éditeur d’antivirus Avast, Jakub Kroustek, dénombrait plus de 100 000 systèmes Windows infectés en moins de 24 heures, 57 % d’entre eux étant situés en Russie.

Les failles SMB de Windows récupérées

Le mécanisme d’infection est pourtant des plus banals. WannaCry est un ransomware dont la première version a été détectée dès le 10 février dernier par un chercheur de Malwarebytes. La souche a fait ses premiers pas lors d’une brève campagne menée le 25 mars dernier. Sa deuxième version, qui a démarré ses ravages massifs le 12 mai, conserve les caractéristiques essentielles d’un ransomware : l’envoi par un e-mail piégé, une pièce jointe (Word ou PDF) qui déclenche l’infection, un chiffrement des données (documents, images, musique et autres) et une demande de rançon en bitcoins afin de restaurer l’accès aux informations prises en otage (dans le cas présent, l’équivalent de 300 dollars).

Si WannaCry dépasse dans sa rapidité de diffusion tout autre ransomware connu à ce jour, y compris le tristement célèbre Locky, c’est qu’il s’appuie sur un second mécanisme amplifiant son potentiel de destruction. Un second effet "Kiss-Cool" reposant sur les failles du serveur SMB (Server Message Block) de Windows et Windows Server. Des vulnérabilités manifestement exploitées par la NSA, puisqu’elles servaient de socle à divers outils d’espionnage de l’agence américaine dévoilés par les Shadow Brokers, un mystérieux groupe de pirates qui a éventé de nombreux secrets de l’organisation de Fort Meade entre août 2016 et avril 2017.

Notons que cette infection en deux temps est en partie contestée. Quelques jours après l’attaque, des experts français estiment que les assaillants ont en réalité directement infectés les systèmes vulnérables, repérés sur Internet. 

WannaCry surfe sur la persistance de Windows XP

Pour les spécialistes, ce scénario noir, qui voit des pratiques cybercriminelles s’emparer d’outils de hacking ultra-perfectionnés développés par des Etats, ne constitue pas une surprise. Dès la fin avril, un rapport de Recorded Future, une société américaine spécialisée dans l’intelligence sur les menaces, expliquait que les communautés de pirates chinois et russes avaient commencé à étudier les malwares dévoilés en avril par les Shadow Brokers (groupe de hackers connu pour avoir dévoilé en 2016 des outils d'espionnage). 

Si Microsoft a déjà corrigé les vulnérabilités qu’exploitent ces outils – de façon surprenante dès mars 2017, soit un mois avant la divulgation des malwares par les Shadow Brokers, les pirates chinois échangeant sur les forums ne semblaient pas totalement persuadés de la solidité de ces correctifs, selon Recorded Future.
Par ailleurs, l’attaque reste valide contre les systèmes non mis à jour ou contre les versions de systèmes d'exploitation qui ne sont plus supportées par l'éditeur.

WannaCry stoppé… par un coup de chance

Devant l’urgence de la situation, Microsoft a d’ailleurs sorti des correctifs pour les failles SMB sur Windows XP, Windows Server 2003 et Windows 8. Une démarche « inhabituelle », explique l'éditeur dans un billet de blog en raison de l’urgence de la situation. Il est précisé que Windows 10 n’est pas touché mais que la menace risque d'évoluer afin de contourner les premières défenses mises en place. 

Pour l’instant, WannaCry est toutefois en décroissance rapide… suite à un coup de chance. Dans un billet de blog, le chercheur en sécurité connu sous le pseudo MalwareTech explique comment, en enregistrant un domaine apparaissant dans le code du malware, il a en réalité bloqué l’exécution de WannaCry et stoppé sa diffusion. D’après le chercheur, le domaine libre qu’il a enregistré correspondrait en réalité à une sécurité imaginée par les développeurs du malware, afin d’éviter les analyses par les systèmes de sécurité basés sur des "sandbox" (mécanisme de sécurité informatique qui permet l'exécution de logiciels avec moins de risques pour le système d'exploitation).
Toutefois, la sécurité offerte par ce coup de chance n’offre en réalité qu’un bref répit, les concepteurs de la souche pouvant très facilement modifier leur création pour contourner cet écueil. Les équipes d’analyse du Kaspersky Lab, note dailleurs l’apparition de nouvelles versions dont la diffusion n’est plus entravée par les opérations de MalwareTech. La menace WannaCry est donc loin d’être totalement écartée.

Source Silicon

Mois: 
Mai
Année: 
2017