Coût de WannaCrypt : faut-il mettre à jour ou subir des attaques ?

0

Le ransomware « WannaCrypt » fait beaucoup parler de lui ces derniers jours : plus de 200 000 victimes dans 150 pays, des milliers de dollars récoltés… Se propageant via une vulnérabilité Microsoft Windows, comment une attaque d’une telle ampleur a-t-elle été rendue possible ?

Cette attaque n’est pas nouvelle dans son genre, mais sa portée est spectaculaire comparée aux autres menaces. Pour autant, cela n’est pas surprenant. Les techniques utilisées par les pirates évoluent aussi rapidement que les technologies de cybersécurité.

L’originalité de cette menace repose sur sa double fonction. Agissant comme un ransomware par la demande de rançon, WannaCrypt dispose des capacités d’un ver informatique, ce qui lui permet de se propager par lui-même.

La différence entre WannaCrypt et d’autres ransomwares repose sur l’usage d’outils de piratage que la NSA aurait laissé fuiter. Ces outils permettent à l’infection de se répandre de manière autonome à travers le réseau, d’où la vitesse de propagation jamais atteinte avec une infection par ransomware. La découverte de la vulnérabilité utilisée date du 14 avril 2017, elle concerne principalement les anciennes versions de Windows.

Le vendredi 12 mai 2017, 14 383 utilisateurs ESET rapportent jusqu’à 66 566 tentatives d’attaque, toutes maîtrisées :

  • 9 922 clients ont rapporté 60 187 tentatives bloquées par notre détection de fichier / mémoire
  • 4 461 utilisateurs ont rapporté 6 379 tentatives bloquées par notre module de protection du réseau

Voici les principaux pays touchés par cette attaque, à partir des éléments de détection ESET [1]:

  • Russie                                                                                30189                   (45.07%)
  • Ukraine                                                                               7955                     (11.88%)
  • Taiwan                                                                                7736                     (11.55%)
  • République des Philippines                                                1973                     (2.95%)
  • Égypte                                                                                1592                     (2.38%)
  • Iran                                                                                     1445                     (2.16%)
  • Inde                                                                                    1135                     (1.69%)
  • Thaïlande                                                                           1036                     (1.55%)
  • Italie                                                                                    795                       (1.19%)
  • Turquie                                                                               711                       (1.06%)
  • République de Chine                                                          706                       (1.05%)
  • Émirats arabes unis                                                            673                       (<1.00%)
  • France                                                                                661                       (<1.00%)
  • Kazakhstan                                                                         650                       (<1.00%)

Une prise de risque délibérée de la part de la DSI ?

Bien que Microsoft ait réalisé une mise à jour (MS17-010) suite à la découverte de cette faille, même sur des OS obsolètes tels qu’XP, l’ordinateur n’est pas pour autant protégé contre WannaCrypt.

N’oublions pas que la mise à jour des systèmes d’exploitation est une décision qui doit être prise suite à la réalisation de l’analyse de risque. Bien souvent, la DSI estime que le risque de faire face à une menace serait bien moins coûteux pour l’entreprise que de patcher les systèmes. Dans ce cas, des mesures préalables de sauvegarde et de restauration sont mises en place.

D’autres raisons empêchent également l’application de mises à jour qui peut par exemple perturber des services vitaux. Les systèmes SCADA sont d’ailleurs très sensibles à ces changements pouvant causer des problèmes d’indisponibilité.

Entre responsabilité et budget

Qui est responsable ? Au vu du nombre de facteurs qui entre en jeu, comme ceux cités précédemment, la responsabilité est difficilement imputable. En théorie, la responsabilité du service technique ne peut être engagée, car il doit faire face à des contraintes, notamment en matière de budget. Si l’on tire une leçon de cette attaque, c’est que les entreprises doivent prendre leur responsabilité et choisir entre mise à jour des OS et réaction en cas d’infection.

Anticiper pour se préparer

Notre service Threat Intelligence et les recherches menées par les laboratoires ESET se sont préparés à ce type d’attaque. Nos technologies nous permettent de réagir rapidement notamment en utilisant le machine learning, pour faire face aux nombreuses variantes de WannaCrypt.

Notre support reçoit quasiment à 100% des appels à propos de ce ransomware. Nous avons une hausse de 30% du nombre d’appels. Face à cette menace, les utilisateurs souhaitent se rassurer et recevoir des conseils avisés. Sur l’ensemble des appels reçus, aucun utilisateur n’a été touché par WannaCrypt.

ESET fait partie des premiers éditeurs ayant repéré WannaCryptor.D puisque nous l’avons détecté le 06 avril 2017. La menace est bloquée par plusieurs modules de protection : la partie ransomware d’une part, secondée par le module de protection réseau. Cette deuxième partie bloque l’exploit permettant la propagation de la menace. ESET a alerté ses utilisateurs sur son site Internet. Toutes les instructions, étape par étape, sont renseignées pour qu’ils s’assurent d’être correctement protégés contre cette menace.

Des mesures de prévention pour diminuer les risques

Pour une protection générale contre les ransomwares, nous recommandons aux utilisateurs :

  • de garder leur système d’exploitation et leur logiciel à jour
  • d’utiliser une solution de sécurité fiable avec plusieurs couches de protection
  • de créer des sauvegardes (idéalement sur un disque dur externe déconnecté du réseau)
  • de sensibiliser leurs collaborateurs aux risques informatiques

L’étude des comportements des cyberattaquants et l’expertise des chercheurs d’ESET sur les outils et méthodologies employés par les pirates, constituent pour les millions de clients d’ESET dans le monde un avantage stratégique.

About Author

Benoît Grunemwald

Directeur des Opérations - ESET France

Leave A Reply