Qu’est-ce que l’attaque par ransomware WannaCry ?

WannaCry est un ver cryptographique de type ransomware apparu pour la première fois le 17 mai 2017. Également connu sous le nom de WannaCrypt, WannaDecryptOr 2.0 et WanaDecryptOr 2.0, il cible spécifiquement les ordinateurs exécutant n’importe quelle version du système d’exploitation Microsoft.

Les cybercriminels trompent les utilisateurs ou utilisent l’ingénierie sociale pour télécharger le virus et pénétrer dans les ordinateurs et les réseaux. Celui-ci chiffre ou « prend en otage » des fichiers, des applications et des programmes essentiels sur de nombreux réseaux informatiques. Les cybercriminels utilisent ensuite cette attaque par ransomware WannaCry pour exiger un paiement (ou une rançon) afin de restaurer les fichiers chiffrés.

Les ransomwares peuvent coûter jusqu'à 2 millions de dollars par incident à votre entreprise. Créer un système de sauvegarde dynamique est l’un des meilleurs moyens d’éviter que votre réseau ne fasse l’objet d’une demande de rançon. Veeam peut aider votre entreprise en offrant une sauvegarde sécurisée qui protège les données les plus importantes en cas d'attaque par ransomware. Dans la plupart des cas, vous pouvez reprendre rapidement vos activités.

Fonctionnement

WannaCry exploite une vulnérabilité dans le protocole Server Message Block (SMBv1) du système d'exploitation Microsoft. Lorsque WannaCry infecte un ordinateur ou un réseau informatique, un écran apparaît sur l’ordinateur de l’utilisateur indiquant que les fichiers ont été chiffrés et qu'il doit payer une rançon de 300 $ en bitcoin dans les trois jours, ou 600 $ dans les sept jours.

Ce qui est peut-être le plus intéressant, et constitue un avertissement pour toutes les entreprises sur l'importance de mettre régulièrement à jour leurs logiciels, c'est que Microsoft a découvert la vulnérabilité de manière autonome et a publié un correctif pour tous les systèmes pris en charge deux mois avant l'apparition de WannaCry. Il a ensuite publié un correctif pour les versions plus anciennes de Microsoft. Malheureusement, ce correctif n’a pas empêché l’utilisation de WannaCry.

Comment WannaCry se propage

WannaCry se concentre sur une ancienne version de la SMBv1. Il se télécharge sur les ordinateurs sous la forme d’un programme autonome qui extrait les composants nécessaires pour chiffrer les données de l’utilisateur. Il se propage rapidement sur n’importe quel réseau utilisant des machines Microsoft plus anciennes, y compris celles qui ne sont plus entretenues, telles que Windows XP et Windows 7.

WannaCry est également un ver réseau qui peut se propager de manière autonome. Une fois qu’il a initialement incité un utilisateur à télécharger le virus, il peut se propager automatiquement à l’aide d’un code de transport. WannaCry recherche d'autres machines susceptibles d'être infectées, puis utilise une méthode de piratage initialement développée par l'Agence nationale de sécurité des États-Unis (NSA) pour accéder aux ordinateurs. Il accède ensuite aux réseaux informatiques via DoublePulsar, un logiciel de « porte dérobée » développé par la NSA, volé par un groupe de pirates informatiques connu sous le nom de Shadow Brokers (un nom inspiré d’un personnage du jeu vidéo Mass Effect), puis rendu public en avril 2017. Les chercheurs ont déclaré que DoublePulsar avait infecté plusieurs centaines de milliers de machines après seulement quelques jours et qu’il se développait rapidement.

Interrupteur d'urgence de WannaCry

Une fois lancé, WannaCry tente d'accéder à une URL codée en dur appelée interrupteur d'urgence (kill switch). Il chiffre les données essentielles sur l’ordinateur s’il ne peut pas atteindre cette URL. Si le logiciel se connecte à cette URL, l'ordinateur s'éteint et aucun dommage supplémentaire n'est causé.

Les experts en informatique qui ont étudié WannaCry ne savent pas pourquoi il a été utilisé. WannaCry utilise une URL absurde (par exemple, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(dot)com) comme interrupteur d'urgence. Marcus Hutchins, un chercheur britannique en sécurité, a commencé à étudier le virus WannaCry presque immédiatement. Il a remarqué qu’il essayait de contacter cette URL, concluant que le logiciel se comportait de cette façon pour dérouter les chercheurs et rendre l’analyse du code plus compliquée.

Cependant, Hutchins a fait plus qu’étudier le virus. Il a payé pour enregistrer cette URL et a créé une page web, empêchant ainsi efficacement de nombreuses versions de WannaCry de chiffrer des fichiers sur d'autres ordinateurs à travers le monde. Alors que les cybercriminels continuaient d'utiliser différentes URL absurdes dans les versions plus récentes, d'autres chercheurs en informatique ont reproduit les actions de Hutchins en enregistrant ces URL, créant des sites web et rendant WannaCry inefficace. Quelques jours après l'attaque initiale, l'attaque par ransomware WannaCry avait considérablement ralenti. Les versions plus récentes de WannaCry évitent d’utiliser l'interrupteur d'urgence.

L’histoire de WannaCry

La NSA a découvert la vulnérabilité SMBv1 plusieurs mois avant les attaques WannaCry. Elle a ensuite développé un piratage pour exploiter le système connu sous le nom d'EternalBlue, mais n'a pas informé Microsoft de la découverte de cette vulnérabilité. Les Shadow Brokers ont ensuite piraté la NSA en avril 2017, ont volé le code d’EternalBlue et l’ont rendu public. Alors qu’il y avait des versions de WannaCry qui circulaient sur Internet pendant des mois avant les attaques de mai 2017, les cybercriminels ont utilisé EternalBlue pour le rendre beaucoup plus dangereux.

Qui a créé WannaCry ?

Aucun groupe n’a jamais revendiqué publiquement la propriété de WannaCry. Cependant, des chercheurs d’entreprises de sécurité informatique ont découvert que le code utilisé dans WannaCry présentait des similitudes avec le code précédemment utilisé par le groupe Lazarus (également connu sous le nom de Guardians of Peace). Ce groupe est soupçonné d’être lié au gouvernement nord-coréen et d’être responsable de la cyberattaque de 2014 contre Sony Pictures en réponse à un film de Sony qui montrait le dictateur nord-coréen Kim Jong-un en train d’être tué.

Après plusieurs mois d’enquête, le gouvernement des États-Unis a formellement accusé la Corée du Nord d’être responsable de WannaCry. La Corée du Nord a nié toutes les accusations. La Nouvelle-Zélande, le Japon et le Canada ont rejoint les États-Unis pour accuser la Corée du Nord. Plus tard, le Royaume-Uni a déclaré que les États-Unis avaient raison dans leur évaluation.

De nombreux experts en recherche informatique et des gouvernements étrangers ont également critiqué la NSA pour ne pas avoir informé Microsoft au préalable qu’elle avait trouvé la vulnérabilité SBMv1. Beaucoup pensent que la NSA aurait pu discrètement informer Microsoft du problème sans le rendre public. Le président russe Vladimir Poutine a directement imputé le virus WannaCry aux services de renseignement américains, les accusant d'avoir créé EternalBlue.

Pourquoi WannaCry fonctionne

WannaCry fonctionne parce qu’il s’appuie sur plusieurs facteurs clés :

De nombreuses entreprises utilisent des systèmes d’exploitation Windows plus anciens et non pris en charge

De nombreuses entreprises dans le monde, en particulier dans les pays en développement, ne peuvent pas se permettre d’acheter de nouveaux logiciels chaque fois qu’un nouveau système d’exploitation Microsoft est disponible. Ils ne peuvent pas non plus se permettre d’acheter des ordinateurs plus récents qui utilisent des systèmes d’exploitation Microsoft plus récents. De nombreux réseaux informatiques à travers le monde utilisent encore des systèmes d'exploitation Microsoft présentant la vulnérabilité SMBv1. En conséquence, il est facile pour WannaCry d’infecter les ordinateurs à l’échelle mondiale.

Même avec des systèmes d’exploitation plus récents, beaucoup d'utilisateurs et d'entreprises ne parviennent pas à mettre régulièrement à jour leurs systèmes chaque fois que Microsoft publie de nouveaux correctifs pour corriger les vulnérabilités.

Cela est vrai même dans les entreprises qui ont d’importantes opérations de sécurité Internet. Nombreuses sont celles qui invoquent des préoccupations professionnelles, telles que les interruptions du réseau ou la crainte que les nouveaux correctifs rendent d'autres logiciels incompatibles.

De nombreuses entreprises ne veulent pas prendre le temps ou dépenser de l’argent pour créer des sauvegardes sécurisées de leurs documents les plus importants

La meilleure façon de vaincre les ransomware tels que WannaCry est peut-être de disposer d’un système de sauvegarde sécurisé de vos documents les plus importants. Malheureusement, de nombreuses entreprises touchées par WannaCry ne l’avaient pas fait. Elles ont dû arrêter des activités essentielles de leurs entreprises, y compris des usines entières dans certains cas, ou suspendre totalement la production pendant plusieurs jours.

L’impact

L’impact de WannaCry est mondial et assez important. Selon les estimations de différents groupes de recherche, le nombre d’ordinateurs infectés se situe entre 200 000 et 250 000 dans 150 pays. Le virus affecte Taïwan, l’Inde, l’Ukraine et la Russie, principalement en raison de l’utilisation d’anciens systèmes d’exploitation Microsoft. Grâce à des mesures défensives, comme la découverte du coupe-circuit par Marcus Hutchins, les pays d’Amérique du Nord sont moins touchés.

L’agence la plus touchée par le virus WannaCry a peut-être été le National Health Service en Angleterre et en Écosse. WannaCry n'a pas seulement touché les ordinateurs, il a aussi perturbé les réfrigérateurs de stockage de sang, les équipements dans les salles d'opération et les scanners IRM. Le virus a forcé le NHS à annuler des milliers de visites non urgentes à l’hôpital, ce qui lui a coûté des millions de livres.

Parmi les autres organisations touchées par WannaCry figuraient des commissariats de police en Inde, des universités en Grèce, au Canada et en Indonésie, des constructeurs automobiles en Russie, en Roumanie et au Japon, FedEx, des hôpitaux en Slovaquie et en Indonésie, les réseaux de télécommunications du Portugal et d'Arabie Saoudite, les chemins de fer russes, et même des tribunaux au Brésil. Ce ne sont là que quelques-unes des centaines d’entreprises et d’organisations touchées par WannaCry. Alors que WannaCry ne demande qu’une simple rançon de $300 à $600 en paiement, le coût global pour les entreprises a été estimé à $4 milliards de pertes de production.

Réponse défensive

Sans aucun doute marqué par l'exploitation des versions antérieures de son système d'exploitation, Microsoft a intégré des outils anti-ransomware dans Windows 10 et Windows 11. Appelé Accès contrôlé aux dossiers, cet outil n'autorise que les applications vérifiées à être téléchargées sur les ordinateurs.

De plus, dans les jours qui ont suivi les attaques initiales de WannaCry, Microsoft a publié des correctifs pour corriger cette vulnérabilité dans ses systèmes d’exploitation plus anciens et non pris en charge. Bien qu’il s’agisse d’une mesure inhabituelle pour Microsoft, la société a estimé qu’il était nécessaire de protéger les utilisateurs contre WannaCry.

De nombreuses personnes n’ont pas payé la rançon. Les chercheurs ont découvert que le virus WannaCry avait été libéré avant qu’il ne soit complètement prêt. Résultat : les cybercriminels sont incapables de déterminer qui a payé la rançon et de restaurer l’accès aux fichiers chiffrés. De plus, les autorités et les organismes chargés de l’application de la loi ont compris que payer les cybercriminels ne faisait que les encourager à créer plus de ransomware, sans garantir que vous récupéreriez vos données, même si vous payiez.

WannaCry est-il toujours une menace ?

Malheureusement, WannaCry affecte encore des ordinateurs en 2023. De nombreux experts en sécurité estiment que malgré les effets dévastateurs de WannaCry, aucune amélioration durable de la cybersécurité n'a été réalisée. De nombreuses entreprises utilisent encore des systèmes d’exploitation Microsoft plus anciens et n’ont pas réussi à mettre à jour le logiciel avec les correctifs nécessaires pour éviter WannaCry. Les entreprises n’ont pas formé leurs employés à reconnaître les e-mails de phishing ou les attaques d’ingénierie sociale. De nombreuses entreprises n’ont pas encore installé de systèmes de sauvegarde sécurisés, croyant à tort que cela ne leur arrivera jamais.

Stratégies d'atténuation des ransomwares

Bien que les attaques par ransomware aient fortement augmenté ces dernières années, comme le montre le rapport sur les tendances des ransomwares en 2024 concernant ces attaques, les stratégies d'atténuation se sont également améliorées.

Un des meilleurs moyens de se protéger contre les attaques par ransomware consiste à disposer d’un personnel formé pour reconnaître les signes . Les employés doivent être formés à repérer les e-mails de phishing contenant des pièces jointes dangereuses. Un expert en informatique a un jour déclaré : « Lorsqu'il faut choisir entre des pingouins dansants et la cybersécurité, les pingouins dansants l'emportent à chaque fois ». Tous les ransomwares ne sont pas des vers réseau ; la plupart dépendent du téléchargement par les utilisateurs de l'application malveillante.

Les employés doivent également apprendre à repérer l’ingénierie sociale, qui utilise des courriels à consonance officielle provenant de soi-disant organisations gouvernementales ou d’application de la loi pour encourager les utilisateurs à télécharger ces pièces jointes.

D’autres outils d'atténuation existent, comme les systèmes de sauvegarde sécurisés de Veeam. Ils protègent vos documents les plus importants et vous permettent de restaurer vos données en quelques heures, voire quelques minutes.

Comment prévenir WannaCry

Il existe plusieurs façons d’empêcher WannaCry d’infecter votre ordinateur ou votre réseau :

• Mettez à jour votre système pour qu’il inclut les correctifs les plus récents
• Installez un logiciel dédié qui bloque les ransomwares
• Bloquez le port 445 pour plus de sécurité. WannaCry utilise le port 445 pour un grand nombre de ses communications, ce qui lui permet de commencer à chiffrer les fichiers
• Utilisez des systèmes de sauvegarde sécurisés pour protéger vos données les plus importantes

Comment détecter WannaCry

La meilleure façon de détecter si WannaCry est sur votre réseau est peut-être de vérifier les journaux de votre ordinateur et le trafic réseau. Tout d’abord, vous devez désactiver SMBv1 s’il fonctionne toujours sur vos ordinateurs. SolarWinds propose un guide sur la façon d'utiliser vos journaux de serveur pour détecter WannaCry. Surveillez la création de fichiers et le trafic sortant sur le port 445 (l’une des raisons pour lesquelles vous devez bloquer ce port).

Comment supprimer le logiciel malveillant WannaCry

Microsoft propose désormais un outil de suppression des logiciels malveillants. Le site d’évaluation de logiciels Geek’s Advice propose également un guide sur la suppression manuelle des logiciels malveillants. Cependant, cela peut être difficile et ne devrait pas être fait par quelqu’un qui n’est pas familier avec les systèmes informatiques.

La réponse de Veeam

S’il existe plusieurs moyens d’empêcher le virus WannaCry et d’autres ransomware d’infecter vos réseaux, votre dernière et meilleure défense est un système de sauvegarde sécurisé. La protection contre les ransomwares de Veeam est conçue pour être sécurisée dès le départ. Disposer d’une sauvegarde fiable fait toute la différence : être rapidement opérationnel après une attaque et ne pas payer un centime aux cybercriminels, ou être inactif pendant une longue période et payer une rançon élevée.