Tout ce que vous devez savoir sur WannaCry et les ransonwares

Il y a 4 ans, jour pour jour, le 12 mai 2017, le monde découvrait avec terreur ce qui est devenue l’attaque ransomware la plus prolifique et l’une des attaques informatiques les plus connues avec le virus Anna Kournikova ; )

Et malheureusement, les attaques WannaCry se poursuivent aujourd’hui.

1/ Les points clés

  • L’épidémie de rançongiciel WannaCry de 2017 a perturbé les hôpitaux, les banques et les entreprises de communication du monde entier.
  • Quatre ans plus tard, les cybercriminels ont renouvelé leurs efforts pour déployer le ransomware WannaCry pendant la pandémie COVID-19.
  • Les entreprises peuvent prendre des mesures pour prévenir les infections, les mises à jour logicielles étant les plus importantes.

Responsable de l’une des infections de logiciels malveillants les plus notoires au monde, le ransomware WannaCry est toujours activement utilisé par les hackers aujourd’hui. Il y a quatre ans jour pour jour, il a décimé les réseaux du monde entier, des systèmes de santé entiers aux banques et aux entreprises nationales de télécommunications.

Il est encore suffisamment impactant pour être utilisé maintenant, et il y a eu une augmentation des rapports faisant état de son apparition pendant la pandémie du COVID19. Voici tout ce que vous devez savoir sur le ransomware WannaCry aujourd’hui – y compris comment en protéger votre organisation.

2/ Qu’est ce que WannaCry?

Le ransomware WannaCry est un ver de crypto-ransomware qui attaque les PC Windows. C’est une forme de malware qui peut se propager de PC à PC à travers les réseaux (d’où le composant «worm») et une fois sur un ordinateur, il peut crypter des fichiers critiques (la partie «chiffrée»). Les auteurs exigent ensuite le paiement d’une rançon pour déverrouiller ces fichiers. Le nom a été dérivé de chaînes de code détectées dans certains des premiers échantillons du virus.

WannaCry a été qualifié d ‘«étude sur les catastrophes évitables» parce que deux mois avant sa première propagation dans le monde en 2017, Microsoft a publié un correctif qui aurait empêché le ver d’infecter les ordinateurs. Malheureusement, des centaines de milliers de systèmes ne l’étaient pas. mis à jour dans le temps, et un nombre inconnu de ces systèmes restent vulnérables aujourd’hui.

3/ Comment WannaCry infecte-t-il les systèmes?

WannaCry ne serait qu’un autre parmi les attaques de ransomwares sans sa méthode d’infection des ordinateurs. Une vulnérabilité critique des systèmes Windows a été découverte et aurait été exploitée pour la première fois par la National Security Agency des États-Unis. Surnommé EternalBlue, l’exploit a finalement été partagé par un groupe de piratage informatique en ligne en avril 2017, et il a permis aux créateurs de WannaCry de tromper les systèmes Windows pour qu’ils exécutent son code en utilisant le protocole Server Message Block.

La façon dont WannaCry se propage consiste à utiliser les réseaux d’entreprise pour passer à d’autres systèmes Windows. Contrairement aux attaques de phishing, les utilisateurs d’ordinateurs n’ont pas besoin de cliquer sur un lien ou d’ouvrir un fichier infecté. WannaCry recherche simplement d’autres systèmes vulnérables à entrer (dans certaines versions, il utilise des informations d’identification volées), puis copie et exécute le programme, encore et encore, et encore. Ainsi, un seul ordinateur vulnérable sur un réseau d’entreprise peut mettre une organisation entière en danger.

4/ Comment fonctionne une attaque WannaCry?

Le programme WannaCry comprend plusieurs composants. Il existe un programme de livraison principal qui contient d’autres programmes, y compris des logiciels de cryptage et de décryptage. Une fois que WannaCry est sur un système informatique, il recherche des dizaines de types de fichiers spécifiques, y compris les fichiers Microsoft Office et les fichiers image, vidéo et son. Ensuite, il exécute une routine pour chiffrer les fichiers, qui ne peuvent être déchiffrés qu’à l’aide d’une clé numérique fournie en externe.

Ainsi, le seul moyen pour un utilisateur infecté d’accéder aux fichiers cryptés WannaCry est de disposer d’une copie de sauvegarde externe de ces fichiers. Lors de l’attaque initiale de WannaCry, le seul recours dont disposaient certaines victimes était de payer les rançons Bitcoin. Malheureusement, les rapports indiquent qu’après le paiement des entreprises, les pirates n’ont pas donné aux victimes l’accès à leurs fichiers.

5/ D’où vient WannaCry et est-il toujours actif?

En mai 2017, WannaCry a semé la panique sur les réseaux d’entreprise du monde entier en infectant rapidement plus de 200 000 ordinateurs dans 150 pays. Parmi ces systèmes, le service national de santé du Royaume-Uni a été perturbé, le service de télécommunications espagnol Telefónica a été menacé et les banques en Russie ont été compromises. Alors que le virus semblait apparaître d’un seul coup, les chercheurs ont ensuite retracé les versions antérieures à une organisation nord-coréenne connue sous le nom de Lazarus Group.

Il y avait de nombreux indices enfouis dans le code de WannaCry mais personne n’a jamais revendiqué la responsabilité de la création ou de la diffusion du programme. Un chercheur a découvert au début de la cyberattaque que le programme avait initialement tenté d’accéder à une adresse Web spécifique qui s’est avérée être un nom absurde non enregistré. Si le programme était capable d’ouvrir l’URL, WannaCry ne s’exécuterait pas, donc il agissait comme une sorte de kill switch. Par conséquent, le chercheur britannique Marcus Hutchins a enregistré l’URL et a effectivement atténué la propagation du ransomware WannaCry. [2]

Néanmoins, il y a eu des vagues de résurgence de WannaCry dans les années qui ont suivi. Un cas très médiatisé s’est produit en 2018 chez Boeing. En fin de compte, cela a causé plus de panique que de dégâts réels, mais la productivité du constructeur aéronautique a été touchée.

Récemment, des chercheurs en sécurité ont constaté une recrudescence des infections WannaCry. Un rapport a noté une augmentation de 53% du ransomware WannaCry en mars 2021 par rapport à janvier de cette année, tandis qu’un autre a déclaré que WannaCry était la principale famille de ransomwares utilisée dans les Amériques en janvier avec 1240 détections. Plus remarquable: les dernières variantes utilisées par les pirates n’incluent plus d’URL de kill-switch.

Se protéger contre les Ransomwares

Heureusement, il existe des mesures de cybersécurité que chaque entreprise peut prendre pour empêcher une attaque de type ransomware:

Installez le dernier logiciel: L’infection mondiale d’origine WannaCry aurait pu être évitée si les entreprises et les particuliers avaient mis à jour leur logiciel Windows. L’exploit qui a permis à WannaCry de se propager avait été corrigé par Microsoft deux mois plus tôt.
Effectuer des sauvegardes: C’est une tâche banale mais nécessaire pour protéger les données critiques, les entreprises doivent donc établir une routine de sauvegarde des informations. En outre, les sauvegardes doivent être stockées en externe et déconnectées du réseau de l’entreprise, comme dans un service cloud, pour les protéger des infections.
Formation de sensibilisation à la cybersécurité: les employés doivent être périodiquement rappelés aux bonnes habitudes de messagerie, surtout maintenant que de plus en plus de travailleurs travaillent à distance. Ils ne doivent jamais ouvrir de pièces jointes inconnues et ne doivent jamais cliquer sur des liens suspects.

Bien qu’il ait eu un impact énorme il y a quatre ans, le ransomware WannaCry reste une menace persistante aujourd’hui – une preuve supplémentaire que ceux qui n’apprennent pas de l’histoire sont voués à la répéter.