Sommaire
Qu’est-ce que WannaCry ?
WannaCry est un cryptoworm avec un virus rançongiciel utilisé pour lancer les célèbres cyberattaques WannaCry. Les pirates ont attaqué des machines Windows et exigé un paiement en bitcoins pour les données cryptées. Ils ont utilisé l’attaque EternalBlue développée par la NSA.
L’attaque a débuté le 17 mai 2017 et a touché plus de 300 000 appareils dans plus de 150 pays. Bien que la demande de rançon ait été relativement faible (300 à 600 dollars), les dommages totaux causés par ce virus ont varié de millions à milliards de dollars.
WannaCry a considérablement affecté le système de santé national britannique en détruisant des milliers d’appareils. Il a également ciblé d’autres entreprises de renom telles que Renault, FedEx et Deutsche Bahn. Parmi les pays les plus touchés figuraient la Russie, l’Ukraine, l’Inde et Taïwan.
En 2017, le hacker britannique Marcus Hutchins a réussi à stopper l’attaque pendant quelques heures après avoir découvert un « kill switch » qui empêchait les appareils infectés de propager l’attaque.
LIRE AUSSI: Les solutions de sécurité informatique pour protéger votre entreprise
Qui a créé ce ransomware ?
Aucun auteur n’a encore été identifié, mais les États-Unis, le Canada, la Nouvelle-Zélande, le Japon et quelques autres gouvernements s’accordent à dire que la Corée du Nord est à l’origine de l’attaque.
Les experts gouvernementaux ont basé leurs conclusions sur des similitudes de code avec le groupe Lazarus, une organisation cybercriminelle nord-coréenne notoire, et sur des horodatages coréens dans les métadonnées du ransomware.
LIRE AUSSI: Cybersécurité : Les menaces s’intensifient pour les entreprises
Comment fonctionne le ransomware WannaCry ?
WannaCry crypte vos données et exige une rançon en échange d’une clé de décryptage. Les victimes reçoivent ensuite un message de rançon sur leur écran avec des instructions. Si elles ne paient pas la rançon, leurs données sont supprimées.
Comme mentionné ci-dessus, WannaCry a exploité la vulnérabilité EternalBlue, développée par la NSA et divulguée par le groupe The Shadow Brokers.
EternalBlue exploitait la mise en œuvre du protocole Windows Server Message Block (SMB), qui aide différents nœuds de réseau à communiquer entre eux. Les pirates ont découvert qu’ils pouvaient utiliser ce protocole pour injecter des paquets personnalisés contenant du code arbitraire.
Bien que Microsoft ait publié une mise à jour pour corriger cette faille, la propagation de ce logiciel malveillant s’est produite parce que de nombreuses organisations n’ont pas mis en œuvre la mise à jour à temps.
Les criminels injectent également WannaCry en utilisant la porte dérobée DoublePulsar qui s’installe sur les appareils ciblés. Lorsque WannaCry atteint l’ordinateur de la victime, il extrait des composants malveillants, tels que l’application qui crypte et décrypte vos données, des fichiers contenant des clés de cryptage et une copie de Tor.
Une fois à l’intérieur, WannaCry vérifie d’abord le nom de domaine du kill switch utilisé pour arrêter les logiciels malveillants. S’il ne le trouve pas, il commence à crypter les formats de fichiers importants tels que .doc, .mp3 et .mkv.
Enfin, il utilise la vulnérabilité EternalBlue pour tenter de se propager à d’autres ordinateurs sur Internet et sur votre réseau.
