Samedi, une attaque de ransomware de très grande envergure baptisée WannaCry a eu lieu dans plusieurs pays. Si le service public de santé britannique (NHS) ou encore le centre d’alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes plus tôt dans la journée, ce ne sont pas moins de 74 pays qui auraient été touchés par plus de 45 000 attaques selon Kaspersky Lab qui indique néanmoins que sa visibilité peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes seront probablement bien plus larges. Parmi les victimes de cette attaque de grande ampleur, le constructeur automobile français Renault a annoncé avoir été également touché.
L’attaque a été initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif. L’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées. Les pirates auraient exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.
Pour Ryan Kalember, expert cybersécurité de Proofpoint, il est inquiétant que cette attaque utilisant une méthode de propagation de type worm se soit avérée si problématique pour de grandes organisations disposant d’infrastructures critiques pouvant avoir un impact sur la santé des individus. « Nous sommes convaincus qu’il ne s’agissait que d’une question de temps avant qu’une attaque de ce type soit lancée, dans la mesure où les vulnérabilités de Microsoft représentaient une trop belle opportunité pour les cybercriminels de s’y engouffrer pour propager rapidement leur attaque ransomware et en tirer un bénéfice financier », explique-t-il.
Pour la première fois, de nouvelles formes de ransomware apparaissent désormais en moyenne une fois par jour. Au premier trimestre 2017, quatre fois plus de nouveaux ransomware qu’au quatrième trimestre 2016 sont apparus. Alors que cette nouvelle cyberattaque ne semble pas avoir eu autant de succès que des attaques ciblées de malware que nous observons régulièrement, les réseaux d’organisations mal protégées ont été sévèrement touchés car l’attaque se répercute sur tous les systèmes vulnérables du même réseau.
Que faire ? Le conseil de Proofpoint
Si vous pensez avoir été infecté par un ransomware, n’éteignez pas votre ordinateur. Ne tentez pas de déchiffrer vos dossiers vous-mêmes et ne versez pas d’argent. Evitez également de connecter d’autres appareils – clés USB, disques de sauvegarde, téléphone – à votre ordinateur infecté pour tenter de récupérer vos fichiers. Confiez votre machine à un expert en sécurité informatique qui pourra récupérer vos données et vérifier qu’il n’y a pas d’autre malware dans l’ordinateur. Enfin, que vous soyez un particulier ou employé d’une entreprise touchée, vous devez rapporter l’incident à la gendarmerie ou au commissariat le plus proche. Votre entreprise doit normalement avoir un système de sauvegarde. La plupart des organisations ont déjà arrêté de payer des rançons, car même si elles sont infectées, elles pourront restaurer leurs systèmes”
« Nous avons notamment constaté que les attaques semblent avoir ciblé principalement la Russie, l’Ukraine et Taiwan, indique Jakub Kroustek, Threat Lab Team Lead chez Avast. Nous avons récemment observé des souches majeures de ransomwares délivrées à travers des documents Offices malveillants contenant des macros envoyées par email, ainsi que via des kits d’exploitation. Si le ransomware infecte via la pièce-jointe de l’email, un document Office malveillant doit d’abord être ouvert et les macros activées afin de permettre au ransomware d’être téléchargé. Lorsqu’un ransomware infecte via une exploitation, en général un site malveillant est visité et un ordinateur avec une vulnérabilité Zero-Day est ensuite exploité pour l’infecter avec le dit ransomware ».
L’impact financier de l’attaque sur Telefonica, le National Health Service (NHS) britannique ou encore Renault, pour ne citer qu’eux, devrait être significatif et dépasser la demande de rançon. Il ressort que 85 % des ordinateurs de l’opérateur ont été touchés, et Telefonica aurait demandé à ses employés d’éteindre leurs ordinateurs et de rentrer chez eux, ce qui devrait entrainer de sérieuses conséquences financières pour l’entreprise.
Telefonica et les autres victimes de cette attaque ne devraient pas mettre trop de temps à retirer le ransomware, mais s’ils n’ont pas sauvegardé récemment les données et fichiers des employés, ils risquent de mettre un peu de temps à s’en remettre, en particulier si ces fichiers ont été chiffrés par le ransomware.