WannaCry : un ransomware qui a ses faiblesses

RisquesSécuritéVirus
wannacry-autopsie

Krypto Logic constate que la propagation de WannaCry, bien que fulgurante, est limitée par plusieurs obstacles. Et pas que le fameux « kill switch ».

Dans quelle mesure les machines sous Windows sont-elle réellement exposées à WannaCry ?

D’après Krypto Logic, toutes les versions de l’OS ne sont pas logées à la même enseigne.

Les expérimentations que le fournisseur californien de solutions de cybersécurité a menées lui ont notamment permis de déterminer que le rançongiciel a du mal à se propager sur les ordinateurs équipés de Windows XP.

Un constat : à moins que la charge utile permettant de déployer WannaCry soit exécutée en local, l’infection échoue, avec parfois un écran bleu (BSOD, pour « Blue screen of death »).

L’exploit sur lequel se fonde le ver – mise en place d’une backdoor avec le module EternalBlue, puis injection d’une DLL malveillante avec DoublePulsar, grâce à une faille dans le protocole SMB de partage de fichiers et d’imprimantes sur le réseau – n’a pas produit les résultats attendus, que ce soit sur XP SP2 ou SP3.

Sur Windows 7 Service Pack 1 64 bits, il a fallu plusieurs tentatives. L’installation sur Windows Server 2008 SP1 a été plus rapide.

Les routeurs aussi

Malgré une surface d’attaque probablement d’autant plus limitée, WannaCry a infecté, selon les estimations qui circulent, 200 000 à 300 000 PC.

À en croire Krypto Logic, les victimes auraient pu se compter à plus de 10 millions si le « kill switch » n’avait pas été découvert.

Un jeune hacker avait déniché cet interrupteur de propagation dans le code du ransomware, quelques jours après la première alerte. Se présentant sous la forme d’un nom de domaine libre (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), il est censé constituer une protection pour éviter les analyses par des systèmes de sécurité basés sur des bacs à sable.

Crypto Logic considère que dans le pire des scénarios, WannaCry aurait pu attaquer 14 à 16 millions de machines.

L’éditeur se base sur un dispositif de type pot de miel avec lequel il a enregistré des connexions en provenance de plus de 700 000 IP uniques.

Parmi ces IP, celles qui ont réalisé le plus de requêtes sont souvent associées à des routeurs de NAT (traduction d’adresses réseau) ou encore des VPN, associés à des centaines, voire de milliers de clients.

Entre Chine et Corée du Nord

WannaCry semble avoir visé large : 8 900 villes dans 90 pays et les réseaux IP de 9 500 FAI et/ou organisations.

Il faut toutefois, admet Crypto Logic, se méfier des changements d’IP consécutifs à des redémarrages ou à l’attribution d’adresses dynamiques par les fournisseurs d’accès. De surcroît, les serveurs utilisés pour l’analyse du « ransomworm » ont subi plusieurs attaques DDoS, ce qui a pu fausser les statistiques.

La Chine est, de loin, le pays le plus visé, avec plus de 6 millions de requêtes. Le faible taux d’adoption de Windows 10, immunisé contre WannaCry, peut l’expliquer. Suivent les États-Unis et la Russie autour du million, puis l’Inde, Taïwan, le Mexique, l’Ukraine, les Philippines, Hong Kong et le Brésil.

Le chercheur Neel Mehta, employé chez Google, suppose qu’on pourrait établir des liens entre WannaCry et Lazarus, ce groupe de pirates parfois associé à la Corée du Nord et auquel on attribue tout particulièrement le hack massif de Sony.

L’indice se trouve dans une ancienne version de la souche, datée en l’occurrence du mois de février. Elle exploite une fonction « Contopee » destinée à déguiser du trafic comme s’il était chiffré. Lazarus s’en est également servi, à plusieurs reprises.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur