Wannacry aurait généré un gain d’environ 32 500 euros pour ses concepteurs

0

Deux attaques informatiques inédites et indépendantes se sont propagées à l’échelle mondiale depuis jeudi 11 mai créant une vague de panique au sein des entreprises. A 24h d’intervalle, ce sont deux attaques de ransomware extraordinaires qui ont frappées les entreprises dans le monde entier avec des modes de propagation très différents mais qui ont souvent été confondues.

Largement relayé par la presse depuis vendredi, le premier, Wannacry a déjà touché près de 210 000 machines dans 99 pays. La seconde attaque, véhiculée plus classiquement par email, est une attaque du ransomware Jaff, une nouvelle variante du célèbre Locky. En 48h, jeudi 11 mai et vendredi 12 mai, le spécialiste français de la protection des boîtes de messagerie Vade Secure a bloqué plus de 630 000 emails contenant le ransomware Jaff.

Notre PDG , Georges Lotigier, commente : « Le ransomware est une nouvelle fois de retour sur le devant de la scène, avec une force de frappe significative au niveau mondial ! D’après nos estimations, le ransomware Wannacry aurait généré un gain d’environ 32 500 euros pour ses concepteurs. Ceci est vraiment l’information positive de cette attaque. Les entreprises ont été peu nombreuses à payer. Cela s’explique forcément par le très important écho médiatique de cette attaque, et les entreprises infectées par Jaff ont certainement bénéficié de ce relai autour de Wannacry. Mais la sensibilisation a l’air de porter ses fruits, ceci est une excellente nouvelle car rappelons-le encore une fois, les technologies évoluent pour mieux se protéger mais en matière de ransomware, l’une des principales clés reste l’humain. Notons également qu’à ce jour, peu de victimes ont été recensées en France. Ce qui nous amène encore une fois à souligner la force de la France en matière de cybersécurité, venant en partie des pépites technologiques dont nous disposons sur notre territoire ».

Vague d’attaques ransomware « Jaff » 

L’attaque du ransomware Jaff a été détectée à partir du jeudi 11 mai. En 48h, le filtre Vade Secure a détecté 633 920 emails contenant le ransomware Jaff. Ce ransomware utilise un fichier au format .docm lui-même intégré dans un fichier PDF À l’ouverture du fichier docm, une macro télécharge la charge malicieuse et commence le chiffrement de la machine infectée. D’après les analyses réalisées sur ce ransomware Jaff par Vade Secure, les similitudes avec le célèbre ransomware Locky sont très nombreuses. Nous pouvons confirmer que Jaff utilise l’email comme vecteur de propagation et que Vade Secure bloque cette attaque.

Vague d’attaques ransomware dit « Wannacry » appelé initialement Ransom.CryptXXX 

Suite à l’analyse de nos équipes, nous ne pouvons affirmer ce matin avec certitude que le vecteur de propagation du ransomware Wannacry est l’email. D’après nos observations, la première vague semblerait avoir utilisée une faille du protocole SMB Windows dans sa version v1. Une confusion a pu être établie entre l’attaque simultanée du ransomware Wannacry et du ransomware Jaff.

–          Synthèse de l’attaque du ransomware Wannacry :

Historique :

Le 14 avril 2017, le groupe de pirates informatiques « Shadow Brokers » a divulgué une liste d’outils d’espionnage informatique appartenant à l’entité « The Equation Group » proche du département de la NSA. Ces outils ont pour fonction de cibler les infrastructures bancaires et plus précisément les systèmes d’exploitation Microsoft Windows de la version Microsoft Windows XP à Microsoft Windows 8 ainsi que les versions « Microsoft Server » utilisées par les entreprises.

Méthode de propagation :

Ce ransomware se propage au travers d’une faille du protocole de partage SMB v1 (Server Message Block) non patchée au moment de l’attaque. Microsoft a depuis publié des correctifs pour les versions Windows Server et Windows Desktop (MS17-010).

Qu’est-ce que le protocole SMB ?

Le protocole SMB est un protocole de partage de ressources, permettant de partager des imprimantes ou des fichiers sur un réseau. Il est massivement utilisé par les entreprises de nos jours ce qui explique la forte propagation de cette attaque.

Comment se comporte ce ransomware ?

  1. Le ransomware se propage dans un premier temps par la mise en place d’une porte dérobée (module appelé DOUBLEPULSAR) grâce à la faille divulguée.
  2. Dans un second temps, ce ransomware va rechercher les machines vulnérables sur le réseau interne de la machine infectée (module appelé ETERNALBLUE) propagent ainsi son attaque sur d’autres machines par le même procédé.
  3. Pour finir ce ransomware va ensuite chercher les espaces de stockages utilisant des lettres telles que : « C:/« , « D:/ « comme convention de dommage. Il chiffre ensuite les fichiers utilisant les extensions suivantes : .doc, .docx, .xls, .xlsx, . ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Suite à l’infection, une demande de rançon est faite, pour une valeur en bitcoin de 300$

L’analyse réalisée par Vade Secure établie que trois adresses sont présentes dans le code du ransomware :

Des centres de contrôles de l’attaque ont également été identifiés sur des nœuds du réseau TOR :

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

D’après l’analyse de Vade Secure (confirmant des estimations publiées hier), le volume de paiement reçu au dimanche 14 mai 2017 à 20h30, est de 20,17 Bitcoins soit environ 32 500 € pour une centaine de transactions.

Quel est l’impact de cette attaque ?

Cette attaque aurait infecté 209 653 machines dans 99 pays. Des hôpitaux, universités, infrastructures de transports, distributeurs de billets ont été victimes de cette attaque. Dans le monde le transporteur Fedex aux États-Unis, le système de santé britannique NHS ou l’opérateur espagnol Telefonica ont été touchés. En France l’usine Renault de Sandouville est mise à l’arrêt le temps de reprendre le contrôle des outils de production.

De nombreuses variantes se diffusent depuis quelques heures sur les réseaux.

Comment se protéger de cette attaque ?

  • Le premier réflexe pour se protéger est de mettre à jour son système d’exploitation. Cette attaque démontre encore une fois que ces mises à jour sont très importantes.
  • Bloquer les ports SMB afin qu’ils ne soient pas accessibles sur l’internet (ports TCP 137, 139, 445, ports UDP 137 et 138) et désactiver le protocole SMB v1.
  • Utiliser une solution de sauvegarde de fichiers
  • Utiliser un outil de filtrage contre les attaques de Phishing, Malware et Ransomware.

About Author

Sebastien Gest

Evangéliste technologique Vade Secure

Leave A Reply