Comme vous le savez sans doute, un ransomware sans précédent a frappé vendredi les hôpitaux du NHS. Il aurait été détecté dans une centaine de pays et aurait affecté environ 75 000 machines (et ces chiffres étaient encore en augmentation au moment où nous mettions sous presse).
Pour vous aider, nous avons pensé rassembler une anatomie de la façon dont elle s'est produite, recueillie auprès de différentes sources, afin de vous aider à mieux comprendre comment elle s'est produite et comment elle s'est répandue si rapidement.
Mais tout d'abord, nous espérons que vous avez pu allumer votre ordinateur aujourd'hui sans qu'il soit infecté par un logiciel malveillant, car des milliers de personnes dans le monde n'auront pas cette chance. Il est bon de faire savoir à vos amis et collègues sous Windows qu'il est important que leur système soit entièrement corrigé avec la mise à jour de sécurité "MS17-010" - https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
Sensibilisation par e-mail
Il est probable que toute cette attaque ait débuté par un spamming. Plusieurs agences de presse ont rapporté que le logiciel malveillant qui déclenche le ransomware a été installé après qu'un utilisateur a ouvert un document Word contenant des macros.
Pour ceux d'entre nous qui travaillent dans le domaine de la cybersécurité, ces attaques sont monnaie courante. Toutefois, celle-ci est unique en son genre par l'ampleur qu'elle a prise. L'attaque s'est poursuivie tout au long du week-end, les médias d'État chinois rapportant que 29 000 institutions chinoises avaient été infectées par la cyberattaque mondiale de ransomware. Elle s'est également poursuivie lundi matin, le gouvernement fédéral australien confirmant que des entreprises privées ont été touchées par l'attaque de ransomware.
L'attachement du malheur !
Ainsi, une fois que l'e-mail atterrit et que l'utilisateur ouvre les documents joints, la partie est terminée !
Plusieurs choses ont pu se produire :
Tout d'abord, il est probable qu'une fois lancé, le logiciel malveillant se soit envoyé à tous les contacts de la liste de contacts électroniques de l'utilisateur. C'est l'une des raisons pour lesquelles le malware peut voyager si loin, si vite.
Le logiciel malveillant se sera alors installé sur la machine locale. Cela aurait très probablement aussi déclenché le ransomware sur la machine locale. Cette variante particulière du ransomware porte plusieurs noms : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Elle crypte tous les fichiers locaux qu'elle peut et affiche un écran comme celui-ci :
L'idée est qu'une fois le cryptage effectué, l'utilisateur doit payer pour avoir à nouveau accès à ses fichiers. Le montant demandé est de 300 dollars. S'il n'a pas payé dans les 72 heures, le montant est doublé. Et s'il n'a pas payé au bout d'une semaine, tous les fichiers seront supprimés. Bien entendu, comme pour tous les ransomwares, il n'y a aucune garantie que le paiement entraîne le décryptage des fichiers. Le paiement doit être effectué en bitcoins - pour en savoir plus sur cette monnaie numérique , cliquez ici.
EternalBlue
Ne vous laissez pas tromper par le nom, le nom EternalBlue devrait faire peur à de nombreuses organisations en ce moment. Il y a quelque temps, l'Agence nationale de sécurité des États-Unis a découvert une faille dans certaines versions de Microsoft Windows qui lui permettait d'accéder à distance à la machine et d'installer des logiciels. Au début de cette année, la NSA elle-même a été piratée et les pirates ont découvert les détails de cette faille et d'une série d'autres. Dès que cette faille a été portée à la connaissance du public, Microsoft a publié un correctif pour toutes les versions de Windows prises en charge.
Cependant, il existe plusieurs versions pour lesquelles des correctifs n'ont pas été publiés, notamment Windows XP et Windows Server 2003. Le logiciel malveillant arrivé vendredi dernier a pu analyser le réseau des organisations à la recherche de machines exécutant ces versions non prises en charge de Windows, puis utiliser cet exploit (nom de code "EternalBlue") pour s'installer à travers le réseau sur la machine détectée, la chiffrant ainsi.
Cette technique est une autre raison pour laquelle le problème a pu se propager si rapidement. C'est aussi une des principales raisons pour lesquelles le NHS a été si durement touché. Le NHS est connu pour utiliser des logiciels et des systèmes d'exploitation obsolètes - même pour certains de ses systèmes les plus cruciaux.
Une dernière chose à mentionner. Vous avez peut-être lu les articles sur le "héros accidentel" qui a réussi à empêcher l'infection d'autres machines. Il semble qu'avant que le ransomware ne prenne effet et ne crypte les machines, il se connecte à un domaine Internet. Ce domaine est "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com".
En fait, le virus vérifie si le site Web est actif et, si c'est le cas, il quitte le site au lieu d'infecter la machine. Il semble s'agir d'un interrupteur que les pirates ont inclus pour leur permettre de mettre fin à la campagne de ransomware si nécessaire. Le domaine ci-dessus n'a jamais été enregistré et le site Web n'aurait donc pas été en ligne. Mais un analyste de sécurité a enregistré le domaine (pour un montant de 8 £), ce qui a permis au site Web d'exister et au ransomware de ne plus infecter de machines.
Toutefois, les pirates peuvent apporter des modifications mineures à leur code et relancer le ransomware sans ce bouton d'arrêt. Les effets de cette situation pourraient être bien plus dévastateurs que ce que nous avons vu vendredi.
Seul le temps nous dira si ces attaques s'intensifient, ou si nous avons vu le pire d'EternalBlue. Cependant, les attaques de phishing continueront à se produire. Pour éviter que votre entreprise ne soit prise dans un incident mondial à l'avenir, vous pouvez investir dans notre logiciel spécialisé de simulation de phishing - MetaPhish - qui augmente la sensibilité de vos employés aux e-mails frauduleux. Nous proposons également un cours d'apprentissage en ligne intitulé "Essential Phishing Awareness", qui explique comment identifier correctement un phishing et ce qu'il faut faire lorsque vous en repérez un.
Contactez-nousdès aujourd'hui pour obtenir plus d'informations sur la manière dont vous pourriez protéger votre organisation contre une attaque de phishing.
