L'attaque mondiale contre les ransomwares et comment protéger vos données

Publicité

Une cyberattaque massive a frappé les ordinateurs du monde entier. Le rançongiciel auto-répliquant très virulent - connu sous le nom de WanaCryptor, Wannacry ou Wcry - s'est en partie approprié un exploit de la National Security Agency (NSA) libéré dans la nature le mois dernier Les cybercriminels possèdent les outils de piratage de la CIA: ce que cela signifie pour vousLe malware le plus dangereux de la Central Intelligence Agency - capable de pirater presque tous les appareils électroniques grand public sans fil - pourrait désormais être entre les mains de voleurs et de terroristes. Alors, qu'est-ce que ça signifie pour vous? Lire la suite par un groupe de piratage connu sous le nom de The Shadow Brokers.

Le ransomware aurait infecté au moins 100 000 ordinateurs, selon les développeurs d'antivirus, Avast. L'attaque massive a principalement visé la Russie, l'Ukraine et Taïwan, mais s'est étendue aux principales institutions dans au moins 99 autres pays. En plus d'exiger 300 $ (environ 0,17 Bitcoin au moment de la rédaction), l'infection est également notable pour son approche multilingue de sécurisation de la rançon: le malware prend en charge plus de deux douzaines les langues.

Que se passe-t-il?

WanaCryptor provoque des perturbations massives, presque sans précédent. Le ransomware affecte les banques, les hôpitaux, les télécommunications, les services publics d'électricité, et autres infrastructures essentielles à la mission Lorsque les gouvernements attaquent: des logiciels malveillants des États-nations sont dévoilésUne cyberguerre se déroule actuellement, cachée par Internet, ses résultats sont rarement observés. Mais qui sont les acteurs de ce théâtre de guerre et quelles sont leurs armes? Lire la suite .

Au Royaume-Uni seulement, au moins 40 NHS (National Health Service) Trusts déclarés urgences, forçant l'annulation d'importants chirurgies, ainsi que de saper la sûreté et la sécurité des patients et conduisant presque certainement à décès.

La police est à l'hôpital de Southport et les ambulances sont `` soutenues '' chez A&E alors que le personnel fait face à la crise de piratage en cours #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 mai 2017

WanaCryptor est apparu pour la première fois en février 2017. La version initiale du ransomware a changé les extensions de fichiers affectées en «.WNCRY» ainsi qu'en marquant chaque fichier avec la chaîne «WANACRY!»

WanaCryptor 2.0 se propage rapidement entre les ordinateurs à l'aide d'un exploit associé au Equation Group, un piratage collectif étroitement associé à la NSA (et fortement répandu pour être leur piratage «sale» en interne unité). Un chercheur respecté en sécurité, Kafeine, a confirmé que l'exploit connu sous le nom ETERNALBLUE ou MS17-010 était susceptible d'avoir figuré dans la version mise à jour.

WannaCry / WanaCrypt0r 2.0 déclenche en effet la règle ET: 2024218 "ET EXPLOIT ETERNALBLUE MS17-010 Echo Response possible" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 mai 2017

Exploits multiples

Cette épidémie de ransomware est différente de ce que vous avez peut-être déjà vu (et j'espère, pas expérimenté). WanaCryptor 2.0 combine le SMB divulgué (Server Message Block, un protocole de partage de fichiers réseau Windows) exploiter avec une charge utile auto-réplicative permettant au ransomware de se propager d'une machine vulnérable à la suivant. Ce ver de rançon supprime la méthode de livraison de ransomware habituelle d'un e-mail, d'un lien ou d'une autre action infecté.

Adam Kujawa, chercheur à Malwarebytes Raconté Ars Technica «Le vecteur d'infection initial est quelque chose que nous essayons toujours de découvrir… Considérant que cette attaque semble ciblé, il pourrait s'agir soit d'une vulnérabilité des défenses du réseau, soit d'un hameçonnage très bien conçu attaque. Quoi qu'il en soit, il se propage sur les réseaux infectés à l'aide de la vulnérabilité EternalBlue, infectant des systèmes non corrigés supplémentaires. »

WanaCryptor tire également parti de DOUBLEPULSAR, un autre exploit divulgué par la NSA CIA Hacking & Vault 7: Votre guide de la dernière version de WikiLeaksTout le monde parle de WikiLeaks - encore une fois! Mais la CIA ne vous regarde pas vraiment via votre smart TV, n'est-ce pas? Certes, les documents divulgués sont des faux? Ou peut-être que c'est plus compliqué que ça. Lire la suite . Il s'agit d'une porte dérobée utilisée pour injecter et exécuter à distance du code malveillant. L'infection recherche les hôtes précédemment infectés par la porte dérobée et, lorsqu'elle est détectée, utilise les fonctionnalités existantes pour installer WanaCryptor. Dans les cas où le système hôte n'a pas de porte dérobée DOUBLEPULSAR existante, le logiciel malveillant revient à l'exploit ETERNALBLUE SMB.

Mise à jour de sécurité critique

La fuite massive d'outils de piratage de la NSA a fait la une des journaux du monde entier. Il existe des preuves immédiates et inégalées que la NSA recueille et stocke des exploits Zero Day non publiés pour son propre usage. Cela pose un énorme risque pour la sécurité 5 façons de vous protéger contre un exploit Zero-DayLes exploits Zero Day, les vulnérabilités logicielles qui sont exploitées par des pirates avant qu'un correctif ne soit disponible, constituent une véritable menace pour vos données et votre confidentialité. Voici comment vous pouvez garder les pirates à distance. Lire la suite , comme nous l'avons vu.

Fortuitement, Microsoft patché l'exploit Eternalblue en mars avant que la mine d'exploits massifs des armes de Shadow Brokers ne fasse la une des journaux. Étant donné la nature de l'attaque, que nous savons que cet exploit spécifique est en jeu et la nature rapide de l'infection, il semblerait qu'un grand nombre d'organisations n'ont pas réussi à installer la mise à jour critique Comment et pourquoi vous devez installer ce correctif de sécurité Lire la suite - plus de deux mois après sa sortie.

En fin de compte, les organisations affectées voudront jouer le jeu du blâme. Mais où doit pointer le doigt? Dans ce cas, il y a assez de reproches à partager: la NSA pour stockage d'exploits dangereux du jour zéro Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf explique] Lire la suite , les malfaiteurs qui ont mis à jour WanaCryptor avec les exploits divulgués, les nombreuses organisations qui ont ignoré une mise à jour de sécurité critique et d'autres organisations utilisant toujours Windows XP.

Que des personnes soient décédées parce que les organisations ont trouvé que le fardeau de la mise à niveau de leur système d'exploitation principal est tout simplement saisissant.

Microsoft a libéré immédiatement une mise à jour de sécurité critique pour Windows Server 2003, Windows 8 et Windows XP.

Versions de Microsoft #WannaCrypt protection des produits non pris en charge Windows XP, Windows 8 et Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 mai 2017

Suis-je à risque?

WanaCryptor 2.0 s'est propagé comme une traînée de poudre. Dans un sens, les personnes extérieures au secteur de la sécurité avaient oublié la propagation rapide d'un ver et la panique que cela peut provoquer. À cette époque hyper-connectée, et combinée à un crypto-ransomware, les fournisseurs de logiciels malveillants étaient sur un gagnant terrifiant.

Êtes-vous à risque? Heureusement, avant que les États-Unis ne se réveillent et ne commencent leur journée informatique, le MalwareTechBlog a trouvé un kill-switch caché dans le code du logiciel malveillant, ce qui a limité la propagation de l'infection.

Le kill-switch impliquait un très long nom de domaine absurde - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - auquel le malware fait une demande.

Je ne peux donc ajouter que "accidentellement arrêté une cyberattaque internationale" à mon CV. ^^

- ScarewareTech (@MalwareTechBlog) 13 mai 2017

Si la demande revient en direct (c'est-à-dire accepte la demande), le logiciel malveillant n'infecte pas la machine. Malheureusement, cela n’aide personne déjà infecté. Le chercheur en sécurité derrière MalwareTechBlog a enregistré l'adresse pour suivre les nouvelles infections via leurs demandes, ne réalisant pas que c'était le coupe-circuit d'urgence.

#Vouloir pleurer la charge utile de propagation contient un domaine non enregistré, l'exécution échoue maintenant que le domaine a été englouti pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 mai 2017

Malheureusement, il existe la possibilité que d'autres variantes du ransomware existent, chacune avec son propre kill-switch (ou pas du tout, selon le cas).

La vulnérabilité peut également être atténuée en désactivant SMBv1. Microsoft propose un didacticiel complet sur la façon de procéder pour Windows et Windows Server. Sur Windows 10, cela peut être rapidement atteint en appuyant sur Touche Windows + X, sélection PowerShell (Admin)et en collant le code suivant:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 est un ancien protocole. Les versions plus récentes ne sont pas vulnérables à la variante WanaCryptor 2.0.

De plus, si votre système a été mis à jour normalement, vous êtes improbable pour ressentir les effets directs de cette infection particulière. Cela dit, si vous avez annulé un rendez-vous avec le NHS, si le paiement bancaire a mal tourné ou si un colis essentiel n'a pas pu arriver, vous avez été touché, malgré tout.

Et à la sagesse, un exploit corrigé ne fait pas toujours le travail. Conficker, n'importe qui?

Que se passe-t-il ensuite?

Au Royaume-Uni, WanaCryptor 2.0 a été initialement décrit comme une attaque directe contre le NHS. Cela a été réduit. Mais le problème demeure que des centaines de milliers de personnes ont été directement perturbées par des logiciels malveillants.

Le malware porte la marque d'une attaque aux conséquences radicalement imprévues. Expert en cybersécurité, Dr. Afzal Ashraf, a déclaré à la BBC "ils ont probablement attaqué une petite entreprise en supposant qu'ils obtiendraient une petite somme d'argent, mais c'est entré dans le système du NHS et maintenant ils avoir le plein pouvoir de l'État contre eux - car, évidemment, le gouvernement ne peut pas se permettre que ce genre de chose se produise et soit réussi."

Ce n'est pas seulement le NHS, bien sûr. En Espagne, El Mundorapportent que 85% des ordinateurs à Telefonica ont été affectés par le ver. Fedex a confirmé avoir été touché, ainsi que Portugal Telecom et le MegaFon russe. Et cela sans tenir compte des principaux fournisseurs d'infrastructure également.

Deux adresses bitcoin créées (ici et ici) pour recevoir des rançons contiennent désormais un total de 9,21 BTC (environ 16 000 $ US au moment de la rédaction) de 42 transactions. Cela dit, et corroborant la théorie des «conséquences imprévues», est le manque d'identification du système fourni avec les paiements Bitcoin.

Peut-être que je manque quelque chose. Si tant de victimes de Wcry ont la même adresse Bitcoin, comment les développeurs peuvent-ils dire qui a payé? Certaines choses ...

- BleepingComputer (@BleepinComputer) 12 mai 2017

Que se passe-t-il ensuite? Le processus de nettoyage commence et les organisations affectées comptent leurs pertes, à la fois financières et basées sur les données. De plus, les organisations affectées examineront attentivement et longtemps leurs pratiques de sécurité et - je vraiment, vraiment l'espoir - mise à jour, laissant le système d'exploitation obsolète et maintenant dangereux Windows XP derrière.

Nous esperons.

Avez-vous été directement affecté par WanaCryptor 2.0? Vous avez perdu des données ou un rendez-vous a été annulé? Pensez-vous que les gouvernements devraient obliger les infrastructures essentielles à la mise à niveau? Faites-nous savoir vos expériences WanaCryptor 2.0 ci-dessous et donnez-nous une part si nous vous avons aidé.

Crédit d'image: Tout ce que je fais via Shutterstock.com