Pour gérer vos consentements :

WannaCry : un ransomware qui a ses faiblesses

Dans quelle mesure les machines sous Windows sont-elle réellement exposées à WannaCry ?

D’après Krypto Logic, toutes les versions de l’OS ne sont pas logées à la même enseigne.

Les expérimentations que le fournisseur californien de solutions de cybersécurité a menées lui ont notamment permis de déterminer que le rançongiciel a du mal à se propager sur les ordinateurs équipés de Windows XP.

Un constat : à moins que la charge utile permettant de déployer WannaCry soit exécutée en local, l’infection échoue, avec parfois un écran bleu (BSOD, pour « Blue screen of death »).

L’exploit sur lequel se fonde le ver – mise en place d’une backdoor avec le module EternalBlue, puis injection d’une DLL malveillante avec DoublePulsar, grâce à une faille dans le protocole SMB de partage de fichiers et d’imprimantes sur le réseau – n’a pas produit les résultats attendus, que ce soit sur XP SP2 ou SP3.

Sur Windows 7 Service Pack 1 64 bits, il a fallu plusieurs tentatives. L’installation sur Windows Server 2008 SP1 a été plus rapide.

Les routeurs aussi

Malgré une surface d’attaque probablement d’autant plus limitée, WannaCry a infecté, selon les estimations qui circulent, 200 000 à 300 000 PC.

À en croire Krypto Logic, les victimes auraient pu se compter à plus de 10 millions si le « kill switch » n’avait pas été découvert.

Un jeune hacker avait déniché cet interrupteur de propagation dans le code du ransomware, quelques jours après la première alerte. Se présentant sous la forme d’un nom de domaine libre (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), il est censé constituer une protection pour éviter les analyses par des systèmes de sécurité basés sur des bacs à sable.

Crypto Logic considère que dans le pire des scénarios, WannaCry aurait pu attaquer 14 à 16 millions de machines.

L’éditeur se base sur un dispositif de type pot de miel avec lequel il a enregistré des connexions en provenance de plus de 700 000 IP uniques.

Parmi ces IP, celles qui ont réalisé le plus de requêtes sont souvent associées à des routeurs de NAT (traduction d’adresses réseau) ou encore des VPN, associés à des centaines, voire de milliers de clients.

Entre Chine et Corée du Nord

WannaCry semble avoir visé large : 8 900 villes dans 90 pays et les réseaux IP de 9 500 FAI et/ou organisations.

Il faut toutefois, admet Crypto Logic, se méfier des changements d’IP consécutifs à des redémarrages ou à l’attribution d’adresses dynamiques par les fournisseurs d’accès. De surcroît, les serveurs utilisés pour l’analyse du « ransomworm » ont subi plusieurs attaques DDoS, ce qui a pu fausser les statistiques.

La Chine est, de loin, le pays le plus visé, avec plus de 6 millions de requêtes. Le faible taux d’adoption de Windows 10, immunisé contre WannaCry, peut l’expliquer. Suivent les États-Unis et la Russie autour du million, puis l’Inde, Taïwan, le Mexique, l’Ukraine, les Philippines, Hong Kong et le Brésil.

Le chercheur Neel Mehta, employé chez Google, suppose qu’on pourrait établir des liens entre WannaCry et Lazarus, ce groupe de pirates parfois associé à la Corée du Nord et auquel on attribue tout particulièrement le hack massif de Sony.

L’indice se trouve dans une ancienne version de la souche, datée en l’occurrence du mois de février. Elle exploite une fonction « Contopee » destinée à déguiser du trafic comme s’il était chiffré. Lazarus s’en est également servi, à plusieurs reprises.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago