Dans quelle mesure les machines sous Windows sont-elle réellement exposées à WannaCry ?
D’après Krypto Logic, toutes les versions de l’OS ne sont pas logées à la même enseigne.
Les expérimentations que le fournisseur californien de solutions de cybersécurité a menées lui ont notamment permis de déterminer que le rançongiciel a du mal à se propager sur les ordinateurs équipés de Windows XP.
Un constat : à moins que la charge utile permettant de déployer WannaCry soit exécutée en local, l’infection échoue, avec parfois un écran bleu (BSOD, pour « Blue screen of death »).
L’exploit sur lequel se fonde le ver – mise en place d’une backdoor avec le module EternalBlue, puis injection d’une DLL malveillante avec DoublePulsar, grâce à une faille dans le protocole SMB de partage de fichiers et d’imprimantes sur le réseau – n’a pas produit les résultats attendus, que ce soit sur XP SP2 ou SP3.
Sur Windows 7 Service Pack 1 64 bits, il a fallu plusieurs tentatives. L’installation sur Windows Server 2008 SP1 a été plus rapide.
Malgré une surface d’attaque probablement d’autant plus limitée, WannaCry a infecté, selon les estimations qui circulent, 200 000 à 300 000 PC.
À en croire Krypto Logic, les victimes auraient pu se compter à plus de 10 millions si le « kill switch » n’avait pas été découvert.
Un jeune hacker avait déniché cet interrupteur de propagation dans le code du ransomware, quelques jours après la première alerte. Se présentant sous la forme d’un nom de domaine libre (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), il est censé constituer une protection pour éviter les analyses par des systèmes de sécurité basés sur des bacs à sable.
Crypto Logic considère que dans le pire des scénarios, WannaCry aurait pu attaquer 14 à 16 millions de machines.
L’éditeur se base sur un dispositif de type pot de miel avec lequel il a enregistré des connexions en provenance de plus de 700 000 IP uniques.
Parmi ces IP, celles qui ont réalisé le plus de requêtes sont souvent associées à des routeurs de NAT (traduction d’adresses réseau) ou encore des VPN, associés à des centaines, voire de milliers de clients.
WannaCry semble avoir visé large : 8 900 villes dans 90 pays et les réseaux IP de 9 500 FAI et/ou organisations.
Il faut toutefois, admet Crypto Logic, se méfier des changements d’IP consécutifs à des redémarrages ou à l’attribution d’adresses dynamiques par les fournisseurs d’accès. De surcroît, les serveurs utilisés pour l’analyse du « ransomworm » ont subi plusieurs attaques DDoS, ce qui a pu fausser les statistiques.
La Chine est, de loin, le pays le plus visé, avec plus de 6 millions de requêtes. Le faible taux d’adoption de Windows 10, immunisé contre WannaCry, peut l’expliquer. Suivent les États-Unis et la Russie autour du million, puis l’Inde, Taïwan, le Mexique, l’Ukraine, les Philippines, Hong Kong et le Brésil.
Le chercheur Neel Mehta, employé chez Google, suppose qu’on pourrait établir des liens entre WannaCry et Lazarus, ce groupe de pirates parfois associé à la Corée du Nord et auquel on attribue tout particulièrement le hack massif de Sony.
L’indice se trouve dans une ancienne version de la souche, datée en l’occurrence du mois de février. Elle exploite une fonction « Contopee » destinée à déguiser du trafic comme s’il était chiffré. Lazarus s’en est également servi, à plusieurs reprises.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…