Le ransomware “WannaCrypt” fait beaucoup parler de lui ces derniers jours : plus de 200 000 victimes dans 150 pays, des milliers de dollars récoltés… Se propageant via une vulnérabilité Microsoft Windows, comment une attaque d’une telle ampleur a-t-elle été rendue possible ?
Cette attaque n’est pas nouvelle dans son genre, mais sa portée est spectaculaire comparée aux autres menaces. Pour autant, cela n’est pas surprenant. Les techniques utilisées par les pirates évoluent aussi rapidement que les technologies de cybersécurité.
L’originalité de cette menace repose sur sa double fonction. Agissant comme un ransomware par la demande de rançon, WannaCrypt dispose des capacités d’un ver informatique, ce qui lui permet de se propager par lui-même.
La différence entre WannaCrypt et d’autres ransomwares repose sur l’usage d’outils de piratage que la NSA aurait laissé fuiter. Ces outils permettent à l’infection de se répandre de manière autonome à travers le réseau, d’où la vitesse de propagation jamais atteinte avec une infection par ransomware. La découverte de la vulnérabilité utilisée date du 14 avril 2017, elle concerne principalement les anciennes versions de Windows.
Le vendredi 12 mai 2017, 14 383 utilisateurs ESET rapportent jusqu’à 66 566 tentatives d’attaque, toutes maîtrisées :
- 9 922 clients ont rapporté 60 187 tentatives bloquées par notre détection de fichier / mémoire
- 4 461 utilisateurs ont rapporté 6 379 tentatives bloquées par notre module de protection du réseau
Voici les principaux pays touchés par cette attaque, à partir des éléments de détection ESET [1]:
- Russie
30189 (45.07%) - Ukraine
7955 (11.88%) - Taiwan
7736 (11.55%) - République des Philippines
1973 (2.95%) - Égypte
1592 (2.38%) - Iran
1445 (2.16%) - Inde
1135 (1.69%) - Thaïlande
1036 (1.55%) - Italie
795 (1.19%) - Turquie
711 (1.06%) - République de Chine
706 (1.05%) - Émirats arabes unis
673 (<1.00%) - France
661 (<1.00%) - Kazakhstan
650 (<1.00%)
Une prise de risque délibérée de la part de la DSI ?
Bien que Microsoft ait réalisé une mise à jour (MS17-010) suite à la découverte de cette faille, même sur des OS obsolètes tels qu’XP, l’ordinateur n’est pas pour autant protégé contre WannaCrypt.
N’oublions pas que la mise à jour des systèmes d’exploitation est une décision qui doit être prise suite à la réalisation de l’analyse de risque. Bien souvent, la DSI estime que le risque de faire face à une menace serait bien moins coûteux pour l’entreprise que de patcher les systèmes. Dans ce cas, des mesures préalables de sauvegarde et de restauration sont mises en place.
D’autres raisons empêchent également l’application de mises à jour qui peut par exemple perturber des services vitaux. Les systèmes SCADA sont d’ailleurs très sensibles à ces changements pouvant causer des problèmes d’indisponibilité.
Entre responsabilité et budget
Qui est responsable ? Au vu du nombre de facteurs qui entre en jeu, comme ceux cités précédemment, la responsabilité est difficilement imputable. En théorie, la responsabilité du service technique ne peut être engagée, car il doit faire face à des contraintes, notamment en matière de budget. Si l’on tire une leçon de cette attaque, c’est que les entreprises doivent prendre leur responsabilité et choisir entre mise à jour des OS et réaction en cas d’infection.
Anticiper pour se préparer
Notre service Threat Intelligence et les recherches menées par les laboratoires ESET se sont préparés à ce type d’attaque. Nos technologies nous permettent de réagir rapidement notamment en utilisant le machine learning, pour faire face aux nombreuses variantes de WannaCrypt.
Notre support reçoit quasiment à 100% des appels à propos de ce ransomware. Nous avons une hausse de 30% du nombre d’appels. Face à cette menace, les utilisateurs souhaitent se rassurer et recevoir des conseils avisés. Sur l’ensemble des appels reçus, aucun utilisateur n’a été touché par WannaCrypt.
ESET fait partie des premiers éditeurs ayant repéré WannaCryptor.D puisque nous l’avons détecté le 06 avril 2017. La menace est bloquée par plusieurs modules de protection : la partie ransomware d’une part, secondée par le module de protection réseau. Cette deuxième partie bloque l’exploit permettant la propagation de la menace. ESET a alerté ses utilisateurs sur son site Internet. Toutes les instructions, étape par étape, sont renseignées pour qu’ils s’assurent d’être correctement protégés contre cette menace.
Des mesures de prévention pour diminuer les risques
Pour une protection générale contre les ransomwares, nous recommandons aux utilisateurs :
- de garder leur système d’exploitation et leur logiciel à jour
- d’utiliser une solution de sécurité fiable avec plusieurs couches de protection
- de créer des sauvegardes (idéalement sur un disque dur externe déconnecté du réseau)
- de sensibiliser leurs collaborateurs aux risques informatiques
L’étude des comportements des cyberattaquants et l’expertise des chercheurs d’ESET sur les outils et méthodologies employés par les pirates, constituent pour les millions de clients d’ESET dans le monde un avantage stratégique.