Le même mécanisme que celui de WannaCryptor, à savoir EternalBlue, a été utilisé par d’autres pirates fin avril 2017. Alors que l’objectif de WannaCrypt est de chiffrer les fichiers pour obtenir une rançon, EternalBlue+CoinMiner.AFR / Adylkuzz installe sur les machines un logiciel de création de monnaie de type Bitcoin :  Monero cryptocurrency.

Cette campagne détectée comme Win32/CoinMiner.AFR et Win32/CoinMiner.AFU a commencé quelques jours après la mise en ligne des outils de la NSA. Dès le 25 avril 2017, ESET détecte via son module réseau les prémices de la propagation, soit 3 jours avant la première tentative d’attaque utilisant Monero cryptocurrency.

Le pic est enregistré le 10 mai 2017, soit quelques heures avant l’épidémie mondiale de WannaCrypt. La détection d’Adylkuzz sur les radars ESET est passée de quelques centaines à des milliers par jour. 118 pays sont touchés, dont principalement la Russie, Taïwan et l’Ukraine.

Par ailleurs, le logiciel de création de cryptomonnaie utilise tellement de ressources système que certaines machines frappées ne répondent plus.

Il est intéressant de noter que les machines infectées par CoinMiner ont vu leur port 445 bloqué. En fermant la porte à de futures infections utilisant EternalBlue et donc le port 445, CoinMiner a pris de vitesse WannaCrypt et sans cette précaution, le nombre d’infections par WannaCrypt aurait pu être beaucoup plus important.

D’ailleurs, l’attaque WannaCrypt semble avoir inspiré d’autres cybercriminels. ESET constate une augmentation significative du nombre d’emails malveillants envoyés par les opérateurs Nemucod, en diffusant un autre ransomware : Filecoder.FV.

Ainsi, les imitateurs de WannaCrypt émergent de part et d’autre. Ils tentent une performance supérieure à celle de WannaCrypt en utilisant le même GUI (interface graphique). Étrangement, leur chiffrement est absent.

Pour éviter tout risque d’attaque, les chercheurs ESET font part de leurs recommandations :

– comme l’exploit EternalBlue utilise une vulnérabilité de Windows® corrigée par Microsoft®, vérifiez l’application de la mise à jour et du correctif sur votre OS
– protégez votre ordinateur avec une solution de sécurité fiable qui utilise plusieurs couches de sécurité
– réalisez des sauvegardes sur un disque dur externe ou sur un emplacement distant non connecté au réseau
– ne payez pas la rançon. Visiblement, aucun moyen ne permettrait aux pirates de faire correspondre le paiement de la victime à l’argent envoyé

Pour rappel, depuis vendredi 12 mai 2017, les machines de plus de 14 000 utilisateurs ont rapporté plus de 66 000 tentatives d’intrusion de la part de WannaCrypt. Ces attaques ciblent en priorité les ordinateurs russes avec plus de 30 000 attaques, suivi de l’Ukraine et de Taïwan.