Michael Cain
0 
5280
877
Une cyberattaque massive a frappé des ordinateurs partout dans le monde. Le ransomware autoréplicatif très virulent - connu sous le nom de WanaCryptor, Wannacry ou Wcry - s'est en partie approprié un exploit de la National Security Agency (NSA) libéré dans la nature le mois dernier. Des cybercriminels possèdent des outils de piratage de la CIA: ce que cela signifie pour vous Des cybercriminels possèdent un piratage de la CIA Outils: ce que cela signifie pour vous Le logiciel malveillant le plus dangereux de la CIA, capable de pirater presque tous les appareils électroniques grand public sans fil, pourrait désormais être utilisé par des voleurs et des terroristes. Alors, qu'est-ce que ça signifie pour vous? par un groupe de piratage connu sous le nom de The Shadow Brokers.
Le ransomware aurait infecté au moins 100 000 ordinateurs, selon les développeurs d’antivirus Avast. L'attaque massive visait principalement la Russie, l'Ukraine et Taïwan, mais s'est étendue à de grandes institutions dans au moins 99 autres pays. En plus d’exiger 300 dollars (environ 0,17 Bitcoin au moment de la rédaction), l’infection est également remarquable pour son approche multilingue de la sécurisation de la rançon: le malware prend en charge plus de deux douzaines de langues..
Que se passe-t-il?
WanaCryptor provoque des perturbations massives, presque sans précédent. Le ransomware affecte les banques, les hôpitaux, les télécommunications, les services publics d'électricité et d'autres infrastructures essentielles. Lorsque les gouvernements attaquent: les logiciels malveillants des États-nations sont dévoilés lors de l'attaque des gouvernements: les logiciels malveillants des États-nations sont exposés Une cyber-guerre se déroule actuellement, dissimulée par Internet ses résultats sont rarement observés. Mais qui sont les acteurs de ce théâtre de guerre et quelles sont leurs armes?? .
Au Royaume-Uni seulement, au moins 40 trusts du NHS (Service national de la santé) ont déclaré des urgences, obligeant à annuler d'importantes interventions chirurgicales, compromettant la sécurité des patients et entraînant presque certainement des décès..
La police est à l'hôpital de Southport et les ambulances sont sauvegardées à A & E alors que le personnel fait face à la crise de piratage en cours #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 mai 2017
WanaCryptor est apparu pour la première fois en février 2017. La version initiale du logiciel ransomware a modifié les extensions de fichier concernées en “.WNCRY” ainsi que marquer chaque fichier avec la chaîne “WANACRY!”
WanaCryptor 2.0 se répand rapidement entre les ordinateurs utilisant un exploit associé à Equation Group, un groupe de piratage étroitement associé à la NSA (et qui aurait été très répandu “sale” unité de piratage). Kafeine, chercheur respecté dans le domaine de la sécurité, a confirmé que l'exploit connu sous le nom de ETERNALBLUE ou MS17-010 figurait probablement dans la version mise à jour..
WannaCry / WanaCrypt0r 2.0 déclenche en effet la règle ET: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Réponse de l'écho" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12 mai 2017
Exploits multiples
Cette épidémie de ransomware est différente de ce que vous avez peut-être déjà vu (et j'espère pas connu). WanaCryptor 2.0 associe l'exploit SMB (Server Message Block, protocole de partage de fichiers réseau Windows) qui a été divulgué à une charge utile à réplication automatique permettant au logiciel de ransomware de se propager d'un ordinateur vulnérable à un autre. Ce ver-rançon supprime la méthode habituelle de livraison du ransomware d'un courrier électronique, lien ou autre action infectée.
Adam Kujawa, chercheur chez Malwarebytes, a déclaré à Ars Technica “Nous essayons toujours de déterminer le vecteur d'infection initial… Considérant que cette attaque semble ciblée, elle pourrait provenir soit d'une vulnérabilité des défenses du réseau, soit d'une attaque de phishing très efficace. Quoi qu’il en soit, il se propage via des réseaux infectés en utilisant la vulnérabilité EternalBlue, infectant d’autres systèmes non corrigés..”
WanaCryptor exploite également DOUBLEPULSAR, un autre exploit NSA divulgué CIA Hacking & Vault 7: votre guide de la dernière version de WikiLeaks CIA Hacking & Vault 7: votre guide de la dernière version de WikiLeaks Tout le monde parle de WikiLeaks - encore! Mais la CIA ne vous regarde pas vraiment via votre téléviseur intelligent, n'est-ce pas? Les documents divulgués sont sûrement des faux? Ou peut-être que c'est plus compliqué que ça. . Il s'agit d'une porte dérobée utilisée pour injecter et exécuter du code malveillant à distance. L'infection recherche les hôtes précédemment infectés par la porte dérobée et, lorsqu'elle est détectée, utilise la fonctionnalité existante pour installer WanaCryptor. Dans les cas où le système hôte ne possède pas de porte dérobée DOUBLEPULSAR, le logiciel malveillant revient à l'exploit ETERNALBLUE SMB..
Mise à jour de sécurité critique
La fuite massive d'outils de piratage de la NSA a fait les gros titres dans le monde entier. Il existe des preuves immédiates et sans égal que la NSA collecte et stocke des exploits inédits du jour zéro pour son propre usage. Cela représente un risque énorme pour la sécurité. 5 façons de se protéger d'un exploit de jour zéro 5 façons de se protéger d'un exploit de jour zéro Exploits du jour zéro, les vulnérabilités logicielles qui sont exploitées avant qu'un correctif ne devienne disponible menace pour vos données et votre vie privée. Voici comment vous pouvez tenir les pirates informatiques à distance. , comme nous l'avons vu.
Heureusement, Microsoft a corrigé l’exploit d’Eternalblue en mars, avant que l’énorme exploit des armes fantômes des Shadow Brokers ne fasse la une des journaux. Étant donné la nature de l'attaque, sachant que cet exploit spécifique est en jeu et la nature rapide de l'infection, il semblerait qu'un très grand nombre d'organisations n'ont pas réussi à installer la mise à jour critique. Comment et pourquoi vous devez installer ce correctif de sécurité Et pourquoi vous devez installer ce correctif de sécurité - plus de deux mois après sa publication.
En fin de compte, les organisations concernées voudront jouer le jeu du blâme. Mais où le doigt devrait-il pointer? Dans ce cas, il y a suffisamment de reproches à partager: la NSA pour avoir stocké de dangereux exploits du jour zéro Qu'est-ce qu'une vulnérabilité du jour zéro? [MakeUseOf explique] Qu'est-ce qu'une vulnérabilité de jour zéro? [MakeUseOf explique], les malfaiteurs qui ont mis à jour WanaCryptor avec les exploits divulgués, les nombreuses organisations qui ont ignoré une mise à jour de sécurité critique et d'autres organisations qui utilisent encore Windows XP.
Que des personnes soient mortes parce que les entreprises ont constaté que le fardeau de la mise à niveau de leur système d'exploitation principal est tout simplement effrayant.
Microsoft a immédiatement publié une mise à jour de sécurité critique pour Windows Server 2003, Windows 8 et Windows XP..
Microsoft lance la protection #WannaCrypt pour les produits non pris en charge Windows XP, Windows 8 et Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13 mai 2017
Suis-je à risque?
WanaCryptor 2.0 s'est propagé comme une traînée de poudre. En un sens, des personnes extérieures au secteur de la sécurité avaient oublié la propagation rapide d’un ver et la panique qu’il pouvait causer. Dans cet âge hyper-connecté, associé à un crypto-ransomware, les fournisseurs de logiciels malveillants étaient sur un gagnant terrifiant..
Êtes-vous à risque? Heureusement, avant que les États-Unis ne se réveillent et se consacrent à leur journée informatique, le MalwareTechBlog a trouvé un commutateur de neutralisation caché dans le code du malware, ce qui a permis de réduire la propagation de l'infection..
Le kill-switch impliquait un nom de domaine très long et insensé - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - auquel le malware a demandé de.
Je ne peux donc que rajouter "mon cyberattaque internationale accidentellement" à mon CV. ^^
- ScarewareTech (@MalwareTechBlog) 13 mai 2017
Si la demande revient en direct (c'est-à-dire accepte la demande), le logiciel malveillant n'infecte pas la machine. Malheureusement, cela n'aide personne. Le chercheur en sécurité derrière MalwareTechBlog a enregistré l'adresse pour suivre les nouvelles infections via leurs demandes, ne réalisant pas que c'était le commutateur d'arrêt d'urgence.
La charge de propagation #WannaCry contient un domaine précédemment non enregistré. L'exécution échoue maintenant que le domaine a été englouti pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12 mai 2017
Malheureusement, il est possible que d’autres variantes du logiciel ransomware existent, chacune avec son propre kill-switch (ou pas du tout, selon le cas)..
La vulnérabilité peut également être atténuée en désactivant SMBv1. Microsoft fournit un didacticiel complet sur la procédure à suivre pour Windows et Windows Server. Sous Windows 10, cela peut être rapidement réalisé en appuyant sur Touche Windows + X, en sélectionnant PowerShell (Admin), et en collant le code suivant:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 est un ancien protocole. Les versions plus récentes ne sont pas vulnérables à la variante WanaCryptor 2.0.
En outre, si votre système a mis à jour normalement, vous êtes peu probable ressentir les effets directs de cette infection particulière. Cela dit, si un rendez-vous auprès du NHS était annulé, si le paiement bancaire tournait mal ou si un colis essentiel ne parvenait pas à arriver, vous seriez affecté, peu importe les circonstances..
Et mot pour le sage, un exploit patché ne fait pas toujours le travail. Conficker, n'importe qui?
Que se passe-t-il ensuite??
Au Royaume-Uni, WanaCryptor 2.0 a été initialement décrit comme une attaque directe contre le NHS. Cela a été réduit. Mais le problème demeure que des centaines de milliers de personnes ont subi une perturbation directe en raison de programmes malveillants..
Le logiciel malveillant porte les marques d'une attaque aux conséquences radicalement inattendues. Dr. Afzal Ashraf, expert en cybersécurité, a déclaré à la BBC que “ils ont probablement attaqué une petite entreprise en supposant qu'ils toucheraient une petite somme d'argent, mais ils ont été intégrés dans le système du NHS et ils disposent maintenant de tous les pouvoirs de l'État - car, de toute évidence, le gouvernement ne peut pas se permettre ce genre de chose. et avoir du succès.”
Ce n'est pas seulement le NHS, bien sûr. En Espagne, El Mundo rapport que 85% des ordinateurs de Telefonica étaient affectés par le ver. Fedex a confirmé qu'ils avaient été touchés, ainsi que Portugal Telecom et le groupe russe MegaFon. Et c’est aussi sans tenir compte des principaux fournisseurs d’infrastructures..
Deux adresses bitcoin créées (ici et ici) pour recevoir des rançons contiennent maintenant un total de 9,21 BTC (environ 16 000 USD au moment de la rédaction) de 42 transactions. Cela dit, et corroborant le “conséquences inattendues” la théorie, est le manque d'identification du système fourni avec les paiements Bitcoin.
Peut-être que je manque quelque chose. Si autant de victimes de Wcry ont la même adresse bitcoin, comment les développeurs sont-ils en mesure de dire qui a payé? Certaines choses ??.
- BleepingComputer (@BleepinComputer) 12 mai 2017
Alors qu'est-ce qui se passe ensuite? Le processus de nettoyage commence et les organisations concernées comptabilisent leurs pertes, à la fois financières et informatiques. En outre, les organisations concernées examineront de près leurs pratiques de sécurité et - je l'espère sincèrement - mettront à jour, laissant derrière eux le système d'exploitation Windows XP obsolète et désormais dangereux..
Nous esperons.
Avez-vous été directement concerné par WanaCryptor 2.0? Avez-vous perdu des données ou un rendez-vous a-t-il été annulé? Pensez-vous que les gouvernements devraient forcer les infrastructures critiques à se mettre à niveau? Faites-nous savoir vos expériences WanaCryptor 2.0 ci-dessous et donnez-nous une part si nous vous avons aidé.
Crédit d'image: Tout ce que je fais via Shutterstock.com