Pour gérer vos consentements :
Categories: Sécurité

WannaCry : deux ans après, la menace n’est pas encore éteinte

Deux ans après son assaut foudroyant, WannaCry reste présent dans le paysage des attaques informatiques, même s’il n’est plus aussi virulent.

Au moins un million de machines y sont encore exposées, à en croire les données du moteur Shodan, spécialisé dans la détection de vulnérabilités.

On parle là uniquement de machines connectées à Internet. Il faut donc potentiellement ajouter celles qui sont sur les mêmes réseaux locaux (surtout au vu du nombre de serveurs concernés).

Les premières alertes étaient remontées le vendredi 12 mai 2017.

WannaCry avait touché des entreprises privées comme Renault, FedEx et Vodafone, ainsi que des organisations publiques à l’image du système national de santé britannique.

Europol avait initialement fait état de 200 000 victimes dans 150 pays. Mais le bilan s’était vite alourdi.

la situation en mars 2018 selon Avast

Une riche filiation

Le rançongiciel s’est propagé en exploitant une faille dans le protocole SMB (partage de ressources réseau sur Windows). Ce grâce à un module issu d’un kit utilisé par la NSA à des fins de cyberespionnage.

Ce module, nommé EternalBlue, avait filtré à l’initiative d’un groupe de pirates ayant déjà éventé auparavant plusieurs secrets du renseignement américain.

Au regard de la menace, Microsoft avait exceptionnellement étendu à des éditions obsolètes de Windows le correctif contre la faille SMB (diffusé plusieurs semaines avant les premières alertes).

D’autres logiciels malveillants exploitant la même faille on été découverts par la suite. Notamment le cheval de Troie bancaire Retefe et le mineur de cryptomonnaies Adylkuzz. Mais aussi d’autres rançongiciels, à l’image de NotPetya. Ce dernier fut ainsi baptisé de par sa ressemblance avec Petya, dont il exploite le code, mais modifié afin que les systèmes infectés ne puissent pas être entièrement restaurés.

On a également craint pour les systèmes Unix, au vu d’une faille similaire affectant Samba (équivalent de SMB).

Des initiatives concertées ont émergé à la suite de l’épisode WannaCry. Par exemple le site No More Ransom, né sous l’impulsion de la police néerlandaise, d’Europol et de McAfee. Il regroupe des outils destinés à aider les victimes de rançongiciels à récupérer l’accès à leurs données chiffrées.

Bien que de nombreuses variantes de WannaCry semblent non fonctionnelles, EternalBlue reste à la base de nombreux malware en circulation.

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago