Qu’est-ce que le ransomware WannaCry ?
WannaCry est un ransomware (rançongiciel) capable de chiffrer des fichiers, dossiers et applications, les rendant inaccessibles jusqu'au paiement d'une « rançon ». Alors que le nombre d'attaques de ransomware contre les entreprises ne cesse de croître, aussi bien en taille qu’en ampleur, nous vous présentons ici qui a créé WannaCry, comment il infecte les réseaux et comment vous pouvez protéger vos systèmes contre ses attaques.
En quoi consiste l’attaque du ransomware WannaCry ?
WannaCry est ransomware, un type de logiciel malveillant qui chiffre des données, des fichiers voire des systèmes informatiques entiers et exige le paiement d'une rançon pour leur déchiffrement. Pour infecter les appareils, il exploite une vulnérabilité du logiciel Windows et a déjà causé des dommages financiers et de réputation de grande ampleur.
WannaCry a été développé à partir d'un programme d'exploitation portant le nom de code EternalBlue, qui a été volé à l'Agence nationale de la sécurité américaine (NSA) par le groupe de pirates informatiques The Shadow Brokers. Le groupe a utilisé cet exploit pour cibler les systèmes d'exploitation Windows non corrigés ou obsolètes. Microsoft avait publié des correctifs pour renforcer son logiciel, mais de nombreuses organisations n'avaient pas installé ces mises à jour, permettant ainsi aux pirates d'exploiter ces vulnérabilités et de mener des attaques.
Le 12 mai 2017, WannaCry a mené l'une de ses plus importantes attaques à ce jour. Se propageant à plus de 230 000 PC Windows dans plus de 150 pays en une seule journée, il a touché des entreprises, des agences gouvernementales et des établissements médicaux. Parmi les entreprises les plus touchées, on peut citer Telefonica, Deutsche Bahn, LATAM Airlines Group, FedEx, ainsi que les constructeurs automobiles Hitachi, Renault et Honda.
Le National Health Service (NHS) du Royaume-Uni est également l'un des nombreux services de santé ayant été touchés en raison d'un logiciel Windows non corrigé, rendant de nombreux systèmes chiffrés et inaccessibles. L'attaque a causé des milliards de dollars de dommages dans le monde entier et est connue pour être l'un des plus importants événements de ransomware à ce jour.
WannaCry a finalement été arrêté par l'expert en cybersécurité Marcus Hutchins. Le même mois, il a mis au point un nom de domaine qui a fait office de coupe-circuit pour stopper le logiciel malveillant dans son élan et entraver toute tentative de le supprimer.
De nombreuses entreprises ont pris conscience de l'importance des correctifs, mais les méthodes utilisées par les mauvais acteurs pour accéder aux systèmes des entreprises sont nombreuses. WannaCry demeure une menace importante pour plusieurs raisons :
- Il peut entraîner des dommages financiers et de réputation considérables.
- Le temps d'arrêt moyen d'une entreprise après une attaque par ransomware est de 21 jours.
- Cela peut poser des problèmes de conformité et exposer votre entreprise à d'autres répercussions.
Qui a créé WannaCry ?
Bien que The Shadow Brokers aient volé l'exploit EternalBlue hébergé par la NSA, le code a été développé et utilisé par d'autres groupes de pirates. Les gouvernements britannique et américain ont depuis annoncé qu'ils pensaient que la division des pirates informatiques de Corée du Nord, le Lazarus Group, était à l'origine de WannaCry.
En février 2021, le ministère américain de la Justice a confirmé que trois programmeurs informatiques nord-coréens avaient été inculpés pour avoir créé et distribué le ransomware WannaCry, extorqué de l'argent aux victimes et volé des données sensibles.
Comment WannaCry infecte-t-il les réseaux ?
Le ransomware WannaCry recherche des vulnérabilités dans les systèmes d'exploitation Windows, en utilisant le code d'exploitation EternalBlue. Il s'agit d'accéder au protocole SMB (Server Message Block), qui permet aux utilisateurs d'accéder aux fichiers et services partagés, de chiffrer les fichiers, puis de demander le paiement d'une rançon. Il est similaire au ransomware Phobos – un ancien type de ransomware qui recherche des ports RDP (Remote Desktop Protocol) non protégés.
Lors d'une attaque WannaCry, l'exploit envoie un code de requête SMB Echo au protocole SMB ciblé, utilisé par les périphériques Microsoft Windows. En l'absence de réponse à la requête, une backdoor (un moyen d'entrer dans le système en évitant les mesures de sécurité d'authentification et d'autorisation) est établie.
En utilisant l’outil de backdoor, DoublePulsar, pour exécuter le ransomware WannaCry, les pirates peuvent établir une connexion qui permet de s’emparer d’informations ou d'introduire des logiciels malveillants, comme le ransomware WannaCry, dans le système.
L'outil permet aux pirates de développer une connexion entre les protocoles SMB (port TCP 445) ou RDP (port TCP 3389) et de déployer un appel de procédure asynchrone (APC). Cette étape permet à l'outil de libérer une bibliothèque de liens dynamiques (DLL) dans le Local Security Authority Subsystem Service (Lsass.exe), qui est responsable des politiques de sécurité du système d'exploitation Windows (changements de mot de passe et services d'authentification, réplication des programmes). Une fois cette opération terminée, le shellcode peut être libéré dans ces systèmes, ce que l'on appelle le « heap spraying », et le code backdoor existant peut être éradiqué.
Une fois que le ransomware WannaCry s'est introduit dans un appareil, il utilise ses capacités de ver pour analyser le réseau et rechercher d'autres appareils qui abritent des logiciels similaires non corrigés ou obsolètes ou des faiblesses, et il reproduit son code malveillant sur ces appareils.
Contrairement à de nombreux autres types de ransomware, WannaCry fait son apparition de manière très claire en affichant un message similaire à celui présenté ci-dessous et en demandant le paiement d'une rançon.
Si vos appareils sont infectés, le seul moyen d'accéder à vos fichiers est d'utiliser une sauvegarde externe de vos fichiers et dossiers, si elle est disponible, ou de payer la rançon. Toutefois, cette solution n'est pas recommandée et il n'est pas garanti que vous puissiez retrouver l'accès à vos systèmes d'exploitation.
Correctifs Windows
À la suite des attaques de WannaCry en 2017, Microsoft a développé des correctifs de sécurité d'urgence pour tous ses systèmes Windows (y compris Windows XP, Windows Vista, Windows 8 et les éditions précédentes de Windows Server). Ils ont publié une annonce pour indiquer que si les clients ont des mises à jour automatiques activées, ils seront protégés – les clients avec des paramètres de mise à jour manuelle ont été « encouragés à installer la mise à jour au plus vite ».
Les attaques de ransomware continuant à évoluer, augmentant à la fois en fréquence et en sophistication, les frais moyens de rançon sont passés de 5 000 dollars en 2018 à environ 200 000 dollars en 2020, selon le National Security Institute. En 2021, un versement de 40 millions de dollars a été effectué par une compagnie d'assurance, établissant un nouveau record mondial pour le plus gros paiement de ransomware.
Les logiciels malveillants restent une activité lucrative pour les cybercriminels, et très peu de souches de ransomware ont des clés de déchiffrement accessibles au public. Cela signifie que la suppression d'un ransomware de votre PC et des appareils associés est complexe, et qu'il peut être impossible de récupérer vos fichiers (même si votre entreprise paie la rançon). Il est donc essentiel de prendre des mesures clés pour prévenir une attaque par ransomware, y compris l'application de correctifs logiciels, afin de garantir que votre entreprise reste à l'abri de futures cyberattaques.
WannaCry est-il toujours actif ?
Un bouton d’arrêt d’urgence a permis de stopper l'attaque WannaCry de mai 2017, et Microsoft a publié un correctif pour sécuriser les systèmes d'exploitation vulnérables contre l'exploit EternalBlue, mais le ransomware reste une menace active.
WannaCry continue d'être mis à jour par des groupes de pirates et reste une menace importante pour les entreprises. Des souches sophistiquées de ransomware, comme Petya et NotPetya, ont été inspirées par WannaCry et abritent des capacités similaires en recherchant la même vulnérabilité dans les applications Windows. Le pourcentage d'organisations victimes d'attaques par ransomware dans le monde a également augmenté, passant de 55,1 % en 2018 à 68,5 % en 2021.
Les menaces étant nombreuses dans le paysage de la cybersécurité, l'installation d'outils de protection contre les ransomwares sera donc essentielle.
Comment empêcher une attaque de ransomware ?
Il est essentiel de prendre des mesures actives pour prévenir une attaque de ransomware contre votre entreprise afin de préserver la sécurité de vos actifs numériques :
- Inspections régulières du réseau : Les inspections de routine de vos activités professionnelles doivent inclure des évaluations de vulnérabilité qui analysent votre réseau, les appareils connectés et les applications pour détecter toute vulnérabilité au sein de votre logiciel qui pourrait conduire à une attaque ou à une violation de données.
- Formation à la cybersécurité : Toute stratégie de sécurité devrait inclure une formation à la cybersécurité. Celle-ci doit viser à sensibiliser les employés aux vecteurs d'attaque courants, tels que la réception d'un courriel de source inconnue et des tentatives de phishing, ou le fait de cliquer sur une pièce jointe qui pourrait contenir un cheval de Troie malveillant.
- Politique de mots de passe : L'adoption d'une politique de mots de passe doit encourager les employés à utiliser des mots de passe robustes qui protègent votre organisation contre les menaces externes, ainsi que l'utilisation du contrôle d'accès basé sur les rôles pour protéger les données et les fichiers sensibles.
- Mise à jour du système d'exploitation et des applications : Il est essentiel de prévenir les menaces susceptibles d'avoir un impact sur votre entreprise et de sécuriser les fichiers et applications importants. Pour cela, vous pouvez notamment mettre régulièrement à jour vos systèmes et déployer des outils qui corrigent automatiquement toute vulnérabilité logicielle.
Protégez-vous contre les attaques WannaCry
Depuis 2017, Avast a bloqué plus de 170 millions d'attaques de ransomware WannaCry. Découvrez comment nos solutions pour PME peuvent fournir à votre entreprise des outils de protection simples mais puissants, en sécurisant vos appareils et données contre les logiciels malveillants, le phishing, les ransomwares et autres cyberattaques avancées.