Comme vous le savez certainement, un ransomware sans précédent s’est déclenché vendredi dans les hôpitaux du NHS. Il aurait été détecté dans une centaine de pays et aurait touché environ 75 000 machines (et ces chiffres continuaient d’augmenter au moment où nous mettions sous presse).

Pour vous aider, nous avons décidé de dresser une anatomie de la façon dont elle s’est produite, à partir de différentes sources, afin de vous aider à mieux comprendre comment elle s’est produite et comment elle s’est répandue si rapidement.

Mais tout d’abord, nous espérons que vous avez pu allumer votre ordinateur aujourd’hui sans qu’il soit infecté par un logiciel malveillant, car plusieurs milliers de personnes à travers le monde n’auront pas cette chance. Cela vaut la peine de faire savoir à vos amis et collègues qui utilisent Windows qu’il est important que leur système soit entièrement patché avec la mise à jour de sécurité « MS17-010 » – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Sensibilisation par courrier électronique

Il est probable que cette attaque ait débuté par une attaque de spamming. Plusieurs agences de presse ont rapporté que le logiciel malveillant qui déclenche le ransomware a été installé après qu’un utilisateur a ouvert un document Word contenant des macros.

Pour ceux d’entre nous qui travaillent dans le domaine de la cybersécurité, ces attaques sont monnaie courante. Toutefois, celle-ci est unique par l’ampleur qu’elle a prise. L’attaque s’est poursuivie tout au long du week-end, les médias d’État chinois rapportant que 29 000 institutions chinoises avaient été infectées par la cyberattaque mondiale de ransomware. Elle s’est également poursuivie lundi matin, le gouvernement fédéral australien confirmant que des entreprises privées avaient été touchées par l’attaque de ransomware.

L’attachement du malheur !

Ainsi, une fois que l’e-mail a atterri et que l’utilisateur a ouvert les documents joints, la partie est terminée !

Plusieurs choses peuvent s’être produites :

Tout d’abord, il est probable qu’une fois lancé, le logiciel malveillant se soit envoyé à tous les contacts de la liste de l’utilisateur. C’est l’une des raisons pour lesquelles le logiciel malveillant peut aller si loin, si vite.

Le logiciel malveillant se sera alors installé sur la machine locale. Il est fort probable que cela ait également déclenché le ransomware sur la machine locale. Cette variante particulière du ransomware porte plusieurs noms : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Il crypte tous les fichiers locaux qu’il peut trouver et affiche un écran comme celui-ci :

L’idée est qu’une fois le cryptage effectué, l’utilisateur doit payer pour avoir à nouveau accès à ses fichiers. Le montant demandé est de 300 dollars. S’il n’a pas payé dans les 72 heures, le montant est doublé. Et s’il n’a pas payé au bout d’une semaine, tous les fichiers seront supprimés. Bien entendu, comme pour tous les ransomwares, il n’y a aucune garantie que le paiement entraîne le décryptage des fichiers. Le paiement doit être effectué en bitcoins – pour en savoir plus sur cette monnaie numérique , cliquez ici.

EternalBlue

Ne vous laissez pas tromper par le nom, le nom EternalBlue devrait faire peur à de nombreuses organisations en ce moment. Il y a quelque temps, la National Security Agency (NSA) des États-Unis a découvert une faille dans certaines versions de Microsoft Windows qui lui permettait d’accéder à la machine à distance et d’installer des logiciels. Par un étrange retournement de situation, la NSA elle-même a été piratée au début de l’année et les pirates ont trouvé des détails sur cette faille et sur une série d’autres. Dès que cette faille a été rendue publique, Microsoft a publié un correctif pour toutes les versions de Windows prises en charge.

Toutefois, il existe plusieurs versions pour lesquelles aucun correctif n’a été publié, notamment Windows XP et Windows Server 2003. Le logiciel malveillant arrivé vendredi dernier était capable d’analyser le réseau des organisations à la recherche de machines utilisant ces versions non prises en charge de Windows, puis d’utiliser cet exploit (dont le nom de code est « EternalBlue ») pour s’installer à travers le réseau sur la machine détectée, et ainsi la chiffrer.

Cette technique est une autre raison pour laquelle le problème s’est propagé si rapidement. C’est aussi l’une des principales raisons pour lesquelles le NHS a été si durement touché. Le NHS est connu pour utiliser des logiciels et des systèmes d’exploitation obsolètes, même pour certains de ses systèmes les plus importants.

Une dernière chose à mentionner. Vous avez peut-être lu les rapports sur le « héros accidentel » qui a réussi à empêcher que d’autres machines soient infectées. Il semble qu’avant que le ransomware ne prenne effet et ne crypte les machines, il s’enregistre auprès d’un domaine Internet. Ce domaine est « www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ».

Essentiellement, le virus vérifie si le site web est en ligne et, si c’est le cas, il quitte le site au lieu d’infecter la machine. Il semble qu’il s’agisse d’un interrupteur que les pirates ont inclus pour leur permettre de mettre fin à la campagne de ransomware en cas de besoin. Le domaine susmentionné n’a jamais été enregistré et le site web n’aurait donc pas été en ligne. Mais un analyste en sécurité a enregistré le domaine (moyennant 8 livres sterling), ce qui a permis au site web d’exister et au ransomware de ne plus infecter d’autres machines.

Toutefois, les pirates peuvent apporter des modifications mineures à leur code et relancer le ransomware sans ce kill switch. Les effets pourraient être bien plus dévastateurs que ce que nous avons vu vendredi.

Seul l’avenir nous dira si ces attaques s’intensifient ou si nous avons vu le pire d’EternalBlue. Quoi qu’il en soit, les attaques par hameçonnage continueront à se produire. Pour éviter que votre entreprise ne soit prise au piège d’un incident mondial à l’avenir, vous pouvez investir dans notre logiciel spécialisé de simulation d’hameçonnage.  MetaPhish qui augmente la sensibilité de vos employés aux courriels frauduleux. Nous proposons également un cours eLearning de sensibilisation à l’hameçonnage qui explique comment identifier correctement un hameçonnage et ce qu’il faut faire lorsque vous en repérez un.  

Contactez-nous dès aujourd’hui pour obtenir plus d’informations sur la manière dont vous pouvez protéger votre organisation d’une attaque de phishing.