Les chercheurs en sécurité de Trustlook ont annoncé avoir trouvé quelques centaines d’échantillons du logiciel malveillant WannaCry. Malgré le fait que ce logiciel n’a commencé son activité, armé d’outils de la NSA qui ont fuité sur internet, qu’il y a un peu plus d’une semaine, les victimes se comptent déjà par centaines de milliers et sont réparties sur une centaine de pays.La vitesse de propagation était telle que Microsoft s’est décidée à sortir un correctif même pour ses systèmes qu’il ne prenait plus en charge, parmi lesquels Windows XP.
Le logiciel malveillant se sert de l'exploit EternalBlue, qui a été publié avec d’autres exploits de la NSA par les Shadow Brokers. Cet exploit profite d’une vulnérabilité de sécurité qui est désormais corrigée (depuis le mois de mars pour les versions prises en charge) dans le protocole Windows Server Message Block (SMB). Puis intervient un autre outil de la NSA, baptisé DoublePulsar, qui a facilité sa propagation.
Il est possible que de nombreux échantillons de logiciels malveillants aient émergé en raison de l'empaquetage des kits d’exploitation actuellement disponibles qui ont été mis à jour pour y intégrer WannaCrys. Les premiers exemples de WannaCry, antérieurs à la version utilisée dans les attaques récentes qui se propagent comme un ver, remontent à février de cette année.
Une activité amorcée en février
C’est en tout cas ce que laisse penser Sean Whalen de VirusTotal Intelligence : « Lors de la collecte d'échantillons de WannaCry, j'ai trouvé un échantillon antérieur à la version de vers. L'échantillon a été compilé le 9 février et téléchargé sur VirusTotal le 10 février. Bien que les timestamps de compilation puissent être falsifiés, la proximité de la date de téléchargement suggère que l'horodatage de la compilation est légitime ». Même son de cloche du côté d’Avast qui a déclaré que le ransomware a commencé à être actif durant le mois de mars.
Malgré le fait que les victimes aient été très nombreuses et que même de grandes institutions comme l’opérateur de télécommunications Telefónica n’ont pas été épargnées, les rançons versées ont été relativement faibles : durant l’écriture de ces lignes, Elliptic indique que la somme se rapproche des 110 000 dollars. Ce qui peut suggérer que la crise a relativement pu être bien gérée.
L’heure des leçons ?
Mais cette attaque a également été le moment de tirer des sonnettes d’alarme. La firme de sécurité Malwarebytes a écrit dans un nouveau rapport que, compte tenu de l'absence d'autres preuves, c'est la seule manière dont WannaCry aurait pu se propager : les attaquants ont balayé Internet à la recherche de ports SMB vulnérables.
« Sans preuve autrement définitive du vecteur d'infection via des captures ou des journaux fournis par l'utilisateur, et sur la base des rapports des utilisateurs indiquant que les machines ont été infectées lorsque les employés sont arrivés au travail, nous devons conclure que les attaquants ont lancé une opération de recherche de vulnérabilité des ports SMB publics et, une fois localisés, ont utilisé des exploits SMB nouvellement disponibles pour déployer des logiciels malveillants et se propager vers d'autres machines vulnérables au sein des réseaux connectés », a écrit l’analyste senior de logiciels malveillants, Adam McNeil.
« Développer une campagne bien conçue pour identifier quelques milliers de machines vulnérables en si peu de temps permettrait la distribution répandue de ce malware sur l'échelle et la vitesse que nous avons vues avec cette variante particulière de ransomware », a-t-il continué.
McNeil a affirmé qu’il est d'accord avec Microsoft lorsque l’entreprise estime que la NSA et d'autres agences de renseignement doivent cesser de stocker des exploits et des failles qui peuvent être utilisés comme des armes numériques et tomber entre n’importe quelles mains. L'incident WannaCry n'est qu'un exemple qui vient illustrer ce qui peut arriver lorsque les failles zero day ne sont pas signalées aux entreprises concernées et conservées pour être exploitées par le gouvernement.
La convention numérique de Genève, une nécessité ?
Pour parer à ce genre d’éventualité, Microsoft avait proposé aux gouvernements du monde entier la création de l’équivalent numérique de la convention de Genève : « De même que la quatrième Convention de Genève protège depuis longtemps les civils en temps de guerre, nous avons besoin d'une Convention de Genève numérique qui engagera les gouvernements à protéger les civils contre les attaques des États-nations en temps de paix. De même que la quatrième Convention de Genève a reconnu que la protection des civils exigeait la participation active de la Croix-Rouge, la protection contre les cyberattaques de l'État-nation nécessite l'assistance active des entreprises technologiques. Le secteur de la technologie joue un rôle unique en tant que premiers intervenants de l'Internet, et nous devons donc nous engager dans une action collective qui rendra l'internet plus sûr, affirmant un rôle de Suisse numérique neutre qui assiste les clients partout et conserve la confiance du monde », a estimé Brad Smith, le président et directeur juridique de Microsoft.
Source : TrustLook, MalwareBytes
Voir aussi :
Microsoft propose aux gouvernements du monde entier la création d'une « convention de Genève numérique », que pensez-vous de ce projet ? 
Envoyé par alexetgus
