WannaCry : 386 échantillons du logiciel malveillant ont été découverts
Par les chercheurs en sécurité de Trustlook

Le , par Stéphane le calme, Chroniqueur Actualités
Les chercheurs en sécurité de Trustlook ont annoncé avoir trouvé quelques centaines d’échantillons du logiciel malveillant WannaCry. Malgré le fait que ce logiciel n’a commencé son activité, armé d’outils de la NSA qui ont fuité sur internet, qu’il y a un peu plus d’une semaine, les victimes se comptent déjà par centaines de milliers et sont réparties sur une centaine de pays.

La vitesse de propagation était telle que Microsoft s’est décidée à sortir un correctif même pour ses systèmes qu’il ne prenait plus en charge, parmi lesquels Windows XP.

Le logiciel malveillant se sert de l'exploit EternalBlue, qui a été publié avec d’autres exploits de la NSA par les Shadow Brokers. Cet exploit profite d’une vulnérabilité de sécurité qui est désormais corrigée (depuis le mois de mars pour les versions prises en charge) dans le protocole Windows Server Message Block (SMB). Puis intervient un autre outil de la NSA, baptisé DoublePulsar, qui a facilité sa propagation.

Il est possible que de nombreux échantillons de logiciels malveillants aient émergé en raison de l'empaquetage des kits d’exploitation actuellement disponibles qui ont été mis à jour pour y intégrer WannaCrys. Les premiers exemples de WannaCry, antérieurs à la version utilisée dans les attaques récentes qui se propagent comme un ver, remontent à février de cette année.

Une activité amorcée en février

C’est en tout cas ce que laisse penser Sean Whalen de VirusTotal Intelligence : « Lors de la collecte d'échantillons de WannaCry, j'ai trouvé un échantillon antérieur à la version de vers. L'échantillon a été compilé le 9 février et téléchargé sur VirusTotal le 10 février. Bien que les timestamps de compilation puissent être falsifiés, la proximité de la date de téléchargement suggère que l'horodatage de la compilation est légitime ». Même son de cloche du côté d’Avast qui a déclaré que le ransomware a commencé à être actif durant le mois de mars.

Malgré le fait que les victimes aient été très nombreuses et que même de grandes institutions comme l’opérateur de télécommunications Telefónica n’ont pas été épargnées, les rançons versées ont été relativement faibles : durant l’écriture de ces lignes, Elliptic indique que la somme se rapproche des 110 000 dollars. Ce qui peut suggérer que la crise a relativement pu être bien gérée.

L’heure des leçons ?

Mais cette attaque a également été le moment de tirer des sonnettes d’alarme. La firme de sécurité Malwarebytes a écrit dans un nouveau rapport que, compte tenu de l'absence d'autres preuves, c'est la seule manière dont WannaCry aurait pu se propager : les attaquants ont balayé Internet à la recherche de ports SMB vulnérables.

« Sans preuve autrement définitive du vecteur d'infection via des captures ou des journaux fournis par l'utilisateur, et sur la base des rapports des utilisateurs indiquant que les machines ont été infectées lorsque les employés sont arrivés au travail, nous devons conclure que les attaquants ont lancé une opération de recherche de vulnérabilité des ports SMB publics et, une fois localisés, ont utilisé des exploits SMB nouvellement disponibles pour déployer des logiciels malveillants et se propager vers d'autres machines vulnérables au sein des réseaux connectés », a écrit l’analyste senior de logiciels malveillants, Adam McNeil.

« Développer une campagne bien conçue pour identifier quelques milliers de machines vulnérables en si peu de temps permettrait la distribution répandue de ce malware sur l'échelle et la vitesse que nous avons vues avec cette variante particulière de ransomware », a-t-il continué.

McNeil a affirmé qu’il est d'accord avec Microsoft lorsque l’entreprise estime que la NSA et d'autres agences de renseignement doivent cesser de stocker des exploits et des failles qui peuvent être utilisés comme des armes numériques et tomber entre n’importe quelles mains. L'incident WannaCry n'est qu'un exemple qui vient illustrer ce qui peut arriver lorsque les failles zero day ne sont pas signalées aux entreprises concernées et conservées pour être exploitées par le gouvernement.

La convention numérique de Genève, une nécessité ?

Pour parer à ce genre d’éventualité, Microsoft avait proposé aux gouvernements du monde entier la création de l’équivalent numérique de la convention de Genève : « De même que la quatrième Convention de Genève protège depuis longtemps les civils en temps de guerre, nous avons besoin d'une Convention de Genève numérique qui engagera les gouvernements à protéger les civils contre les attaques des États-nations en temps de paix. De même que la quatrième Convention de Genève a reconnu que la protection des civils exigeait la participation active de la Croix-Rouge, la protection contre les cyberattaques de l'État-nation nécessite l'assistance active des entreprises technologiques. Le secteur de la technologie joue un rôle unique en tant que premiers intervenants de l'Internet, et nous devons donc nous engager dans une action collective qui rendra l'internet plus sûr, affirmant un rôle de Suisse numérique neutre qui assiste les clients partout et conserve la confiance du monde », a estimé Brad Smith, le président et directeur juridique de Microsoft.

Source : TrustLook, MalwareBytes

Voir aussi :

Microsoft propose aux gouvernements du monde entier la création d'une « convention de Genève numérique », que pensez-vous de ce projet ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de RyzenOC RyzenOC - Membre émérite https://www.developpez.com
le 23/05/2017 à 13:34
J'ai pas compris comment ce virus s'installe sur une machine.

Sans le savoir, les leçons à retiré c'est :
ne pas ouvrir n'importe quels fichiers (.exe...) surtout avec les droits admin
ne pas ouvrir de mails suspects
avoir un systèmes et des logiciels à jours
ne pas utiliser flash et les applets java

on en reviens aux bases, la chaise et le clavier.

un ransomware c'est pas trop grave pour nous autres, au pire il y'a destructions de données, j'aurais beaucoup plus peur pour ma pomme le jour ou se sera du vol de données d'entreprise comme Facebook, ou Google, un pirate pouvant savoir tous sur ta vie, avoir toutes les conversations de ton tel, de tes mails... les revendre à bon prix

le ransomware dans le pire des cas tu perd pas grand choses, tu perd 4-5 jours de travail max, car évidement les entreprises font des sauvegardes périodique, il suffit de formater, de restaurer les données et on repart sur de nouvelle base, bref beaucoup de bruit pour rien.... comment personne ne fais de sauvegarde
la prochaine fois le patron auras qu'a augmenter le budget informatique de la boite bienfait.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 23/05/2017 à 13:44
Ouaip.

Et ce que les politiques ne saisissent pas, l introduction de backdoors dans le chiffrement = WannaCry exposant botnet mirai; i.e, internet tombe et tous les PC sont bloques.

Un armageddon anarchiste sur le Net.

On les laisse tout reconstruire ?
Avatar de RyzenOC RyzenOC - Membre émérite https://www.developpez.com
le 23/05/2017 à 13:49
Citation Envoyé par marsupial Voir le message
Ouaip.

Et ce que les politiques ne saisissent pas, l introduction de backdoors dans le chiffrement = WannaCry exposant botnet mirai; i.e, internet tombe et tous les PC sont bloques.

Un armageddon anarchiste sur le Net.

On les laisse tout reconstruire ?
C'est même mieux que sa, moi j'attends un virus de ce genre sur tous les appareils connectées.
J'ai hâte que nos frigo et lave linge connectées choppe un virus et crée une belle attaque DDOS sur les big brother.

Mr Michu tellement ignorant ne fera jamais aucune manip pour arrêter le massacre, bref tous vas s’effondrer avec de belles erreurs 500 serveur surchargées

En voulant nous connectées à outrances, ils aurons construits leurs propre tombe.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 23/05/2017 à 15:42
Il est fort probable que le groupe Lazarus soit derrière le ransomware WannaCry
D’après la firme de sécurité Symantec

Il y a déjà une semaine que Neel Mehta, chercheur en sécurité chez Google a fait le rapprochement entre le code du ransomware WannaCry (dans sa version du mois de février) et celui du malware Cantopee. Les similitudes dans le code avaient permis de lier un groupe nord-coréen nommé Lazarus au ransomware WannaCry. Il subsistait cependant un doute, le ransomware WannaCry dans sa version de mai ne portait pas les signatures retrouvées dans celle du mois de février, ce qui laissait penser à une manœuvre de diversion.

La firme de sécurité Symantec a aussi mené des investigations sur les similitudes entre le ransomware WannaCry et le malware Cantopee. Symantec se veut clair, les versions de WannaCry de février et de mai sont globalement identiques, avec cependant quelques changements. La version de mai diffèrerait de celle de février essentiellement par l’utilisation de l’exploit EternalBlue qui lui a conféré son caractère d’arme de destruction de masse. Symantec a clairement établi le lien entre les versions de WannaCry du mois de février et celle de mai en évoquant le fait que les mots de passe des fichiers .Zip contenus dans l’injecteur de WannaCry sont similaires dans les deux versions. Il s’agit des chaînes de caractères : wcry@123, wcry@2016 et WNcry@2ol7.

Les similitudes entre la version de WannaCry de février et le malware Cantopee ayant été établies, ce nouvel élément de Symantec (le lien entre les versions de WannaCry de février et de mai) augmente la probabilité que le groupe Lazarus soit l’auteur du ransomware WannaCry. C’est d’ailleurs ce que semble affirmer Vikram Thakur, directeur technique chez Symantec, lorsqu’il s’exprime au micro de Reuters en disant que « nous sommes sûrs du fait qu’il s’agit du travail de personnes liées au groupe Lazarus puisqu’elles devaient avoir accès au code source. » Et d’ajouter que « nous ne pensons pas qu’il s’agisse d’une opération pilotée par un gouvernement. »

Au sujet d’un possible commandite du gouvernement nord-coréen, Vikram Thakur a ajouté : « le fait que les hackers aient demandé des rançons avant que les fichiers ne soient déchiffrés prouve qu’ils ne travaillent pas pour le gouvernement nord-coréen. »

Sources : Symantec, Reuters

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées
Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes, et aux gouvernements leurs responsabilités
La Corée du Nord serait-elle derrière le ransomware WCry ? Des indices dans le code le suggèrent
Avatar de chrtophe chrtophe - Rédacteur/Modérateur https://www.developpez.com
le 23/05/2017 à 20:21
J'ai hâte que nos frigo et lave linge connectées choppe un virus et crée une belle attaque DDOS sur les big brother.
Tu rigoleras moins quand tu devras jeter son contenu car programmé pour s’arrêter tout seul, qu'il te commande des courses sans ton aval, et que ton lave-linge provoquera un dégâts des eaux suite à reprogrammation.

Connecter un frigo ou un lave-linge à Internet, non mais allo quoi ...
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 23/05/2017 à 20:37
Citation Envoyé par chrtophe Voir le message
Connecter un frigo ou un lave-linge à Internet, non mais allo quoi ...
ou pire encore, imagine un téléphone connecté à internet, et qu'en plus on se baladerait avec en permanence, "LOL", aucune chance que ça arrive un jour heureusement...
Avatar de Florian_PB Florian_PB - Membre averti https://www.developpez.com
le 24/05/2017 à 15:17
Citation Envoyé par Patrick Ruiz Voir le message
Au sujet d’un possible commandite du gouvernement nord-coréen, Vikram Thakur a ajouté : « le fait que les hackers aient demandé des rançons avant que les fichiers ne soient déchiffrés prouve qu’ils ne travaillent pas pour le gouvernement nord-coréen. »
Ce n'est pas parce qu'une rançon a été réclamée qu'ils ne sont pas liés au gouvernement, ils peuvent très bien vouloir renflouer leurs caisses tout en ayant été commandités par une entité extérieure. Rien ne dit non plus qu'ils n'ont pas travaillé seul derrière.
Avatar de mh-cbon mh-cbon - Membre habitué https://www.developpez.com
le 24/05/2017 à 16:15
Citation Envoyé par Florian_PB Voir le message
Ce n'est pas parce qu'une rançon a été réclamée qu'ils ne sont pas liés au gouvernement, ils peuvent très bien vouloir renflouer leurs caisses tout en ayant été commandités par une entité extérieure. Rien ne dit non plus qu'ils n'ont pas travaillé seul derrière.
ouais je ne sais pas de quel pays imaginaire tu t'inspires, mais avec le butin récolté tu ne fais pas vivre trois peknos à shanghai ad vitam æternam

on parle de combien 100 / 150 / 200 K $ je crois ? Même en corée du nord on en rigole
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 24/05/2017 à 16:32
Faites attention aux faux correctifs de WannaCry diffusés en ligne,
les chercheurs en sécurité recommandent la prudence et le bon sens

Avec la vague d’attaques au ransomware WannaCry, les experts en sécurité ont recommandé aux entreprises de faire attention aux correctifs qu’ils téléchargent sur Internet. « Ils exploitent vraiment les craintes de tous », a expliqué Adam Malone, directeur des enquêtes numériques de l’entreprise PwC basée à New York.

Il a rappelé que les vendeurs légitimes ne vont pas envoyer des alertes via des publications virales sur les réseaux sociaux. De plus, il a souligné que les correctifs ne nécessitent d’ordinaire pas de téléchargement : « Ils sont généralement fournis via le logiciel de mise à jour du fournisseur ». « Dans ce cas particulier, le correctif est fourni par Microsoft officiellement grâce à son service de mise à jour Windows ».

Pour obtenir le patch, tout ce que les utilisateurs doivent faire c’est lancer leur programme Windows Update.

De même, il a rappelé que les fournisseurs d'antivirus distribuent automatiquement les nouvelles signatures via des mises à jour logicielles : « Ils ne sont jamais distribués via un lien ou un message texte ou un site de réseautage social ».

Et dans les cas où un patch doit être téléchargé ou si les utilisateurs choisissent de faire une mise à jour manuelle, ils devraient être sûrs qu'ils se trouvent sur le site Web officiel du fournisseur et non sur un site tiers.

Par exemple, Microsoft a publié des liens de mises à jour à l’intention d’anciennes versions de son système d'exploitation, ainsi que sa Microsoft Malicious Software Removal Tool (MSRT) pour détecter et supprimer le malware WannaCrypt dans un billet de blog officiel. L’entreprise a prévenu que « Pour les clients qui exécutent Windows Update, l'outil détecte et supprime WannaCrypt et d'autres infections malveillantes répandues. Les clients peuvent également télécharger et exécuter manuellement l'outil en suivant les instructions. L'outil MSRT s'exécute sur tous les ordinateurs Windows pris en charge où les mises à jour automatiques sont activées, y compris celles qui ne fonctionnent pas avec d'autres produits de sécurité Microsoft ».

Certains fraudeurs vont même tenter de vendre des correctifs, a déclaré Cathie Brown, vice-présidente de la société de conseil en technologie Impact Makers inc. « Chaque fois qu'il y a une attaque à grande échelle ou une attaque de malware lancée, nous voyons émerger de faux correctifs », a-t-elle déclaré. « Tout comme le système de ransomware, il est facile de coder et de déployer un faux correctif - il peut rapidement devenir rentable ».

Aussi, même si cela peut sembler évident, elle recommande la prudence et le bon sens : « Aucune entreprise de sécurité ou d'informatique réputée ne va essayer de vendre des correctifs aux vulnérabilités des logiciels malveillants lorsque vous pouvez l'obtenir gratuitement par Microsoft », a-t-elle déclaré.

Damien Hugoo, directeur de la gestion de produits chez Easy Solutions, inc., a déclaré qu’il y a même eu des applications dans des magasins d'applications tierces offrant des correctifs à WannaCry. Pourtant, comme il l’a rappelé, « WannaCry n'affecte même pas les appareils mobiles ».

Les cybercriminels qui lancent des attaques de phishing utilisent également le nom « WannaCry » pour inciter les utilisateurs à cliquer sur des liens malveillants. Par exemple, au Royaume-Uni où le service national de santé a été touché par le virus, les utilisateurs ont reçu un courriel prétendant être de BT qui leur a demandé de cliquer sur un lien pour confirmer une mise à niveau de sécurité.

Un autre courriel a prétendu être issu de LogMeIn, inc., connu pour ses produits tels que GoToMeeting, GoToMyPC, LastPass et LogMeIn. Selon la publication du blog de l'entreprise, ce courriel a déclaré aux utilisateurs qu'ils étaient déjà infectés par WannaCry et qu'ils avaient besoin de mettre à jour leur logiciel LogMeIn en cliquant sur un lien qui semblait pointer vers le site officiel. L'adresse de retour affichait « LogMeIn.com Auto-Mailer » au niveau du nom, mais l’adresse de retour réelle était une chaîne de caractères aléatoires.

Une autre arnaque consiste à envoyer un message qui indique aux utilisateurs qu'ils sont infectés et leur demander de l'argent. Notons que, dans ces cas-là, les ordinateurs ne sont en réalité pas infectés ou les fichiers ne sont pas chiffrés. « Cela ne coûte pas grand-chose aux criminels de diffuser ce genre de messages », a déclaré Malone de PwC.

Source : blog TechNet, PwC, Impact Makers
Avatar de Florian_PB Florian_PB - Membre averti https://www.developpez.com
le 24/05/2017 à 16:51
Dans ce dernier cas c'est juste les gens qui n'ont pas assimilés les réflexes de base que nous autres surhommes informaticiens avons, pas de leur fautes s'ils sont ignorants n'ont pas été éduqués pour contrer ce genre de méthodes.

Edit : je suis totalement ironique, ce n'est pas à prendre au premier degré. je dis juste que ceux qui n'ont pas reçu "d'éducation informatique" ne savent pas forcément démêler le vrai du faux de ce qu'ils voient sur internet dès que ça parle de virus et de sécurité informatique.
Avatar de mh-cbon mh-cbon - Membre habitué https://www.developpez.com
le 24/05/2017 à 16:56
Citation Envoyé par Florian_PB Voir le message
Dans ce dernier cas c'est juste les gens qui n'ont pas assimilés les réflexes de base que nous autres surhommes informaticiens avons, pas de leur fautes s'ils sont ignorants n'ont pas été éduqués pour contrer ce genre de méthodes.
je m’insurge en faux la dessus, ce serait dire que les gens sont idiot par inertie (héréditaire/environnementale/whatever). Je proclames que les méthodes d'enseignements d'informatiques nécessite d'être adaptées à tous, car le choix n'existe simplement pas, et puis parce que c'est relou de se dire que les gens sont stupide par inertie.

Dit autrement, ils échouent, car nous avons échoué à leurs transmettre les connaissances.
Avatar de hotcryx hotcryx - Membre chevronné https://www.developpez.com
le 24/05/2017 à 17:00
Après les "les terroristes modérés", et les "incidents terroristes" que l'on voit en gros titre dans la presse, ce sont eux qui ont inventé ces termes, maintenant les chercheurs en sécurité recommandent la prudence et le bon sens.

On vit chez les fous?

N'importe qui peut devenir chercheur en sécurité en lançant ce genre de protection
Avatar de Florian_PB Florian_PB - Membre averti https://www.developpez.com
le 24/05/2017 à 17:02
Citation Envoyé par mh-cbon Voir le message
je m’insurge en faux la dessus, ce serait dire que les gens sont idiot par inertie (héréditaire/environnementale/whatever). Je proclames que les méthodes d'enseignements d'informatiques nécessite d'être adaptées à tous, car le choix n'existe simplement pas, et puis parce que c'est relou de se dire que les gens sont stupide par inertie.

Dit autrement, ils échouent, car nous avons échoué à leurs transmettre les connaissances.
C'était totalement ironique là dessus, seulement le soucis est que ceux qui travaillent dedans où s'y intéressent de près possèdent déjà des reflexes de base par rapport à l'informatique et ne se feront pas berner par ces faux patchs là où Mme Michu qui sait pas forcément comment ça marche va naturellement cliquer sur la jolie pub qui propose de télécharger un patch anti WannaCry.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 29/05/2017 à 12:52
Citation Envoyé par NSKis Voir le message
Et donc quand tu déclares tes variables au lieu d'écrire un "DisplayID", tu écris "isibonisiID" et on conclut... que tu es un horrible hacker... Zoulou!!!
Ca renvois au mème. ci c'est du code compilé tu n'a pas de variables explicites de ce type dans le code assembleur.

ou alors tu as des string avec du coréens .. et la ça pousse le débile a un autre niveau.

quel était le langage de dev du malware ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 29/05/2017 à 17:11
WannaCry : deux centaines de clés maîtres de déchiffrement sont mises à la disposition du public,
pour le plus grand bonheur des éditeurs de solutions antivirus

Des spécialistes de la sécurité travaillant pour le compte d’entreprises françaises ont publié une paire d'outils de déchiffrement pour le ransomware WanaCry. Cependant, ces outils nécessitent entre autres que la machine infectée n’ait pas été redémarrée.

Les spécialistes ont confirmé que le décrypteur Wannakey fonctionne sur Windows XP, 7, 2003, Vista et Windows Server 2008, tandis que l'autre outil, appelé Wanakiwi, fonctionne sur ces mêmes plateformes, mais également plus 2008 R2.

C’est l’ingénieur Adrien Guinet de Quarkslab qui a développé Wannakey, suite à quoi l’ingénieur Benjamin Delpy a développé Wanakiwi en s’appuyant sur la méthodologie de Guinet et en espérant un plus large champ d’application. Il a travaillé en collaboration avec le fondateur de Comae Technologies, Matthieu Suiche, qui a vérifié l'efficacité de Wannakey et Wanakiwi. Les deux outils ont été mis en téléchargement sur GitHub.

Comme l’ont expliqué Guinet et Suiche, Wannakey et Wanakiwi ne recherchent pas réellement la clé de déchiffrement en elle-même : les deux outils sondent plutôt la mémoire des machines infectées à la recherche des nombres premiers qui ont été laissées après le processus de création de clé privée

« Il semble qu'il n'y ait pas de façons propres et multiplateformes sous Windows pour nettoyer cette mémoire », a déclaré Guinet, en se référant spécifiquement aux versions de Windows compatibles avec son outil. « Si vous êtes chanceux (c'est-à-dire que la mémoire associée n'a pas été réaffectée et effacée), ces nombres premiers pourraient encore être en mémoire. C'est ce que ce logiciel essaie d'atteindre ».
.
Malheureusement, toute tentative de redémarrage de la machine rend ces outils de déchiffrement inutiles, car ils dépendent de la mémoire actuelle en cours de fonctionnement. De même, une trop grande activité post-infection sur l'ordinateur infecté écrasera la mémoire et aura le même effet.

Notons également qu’au total, les spécialistes ont détecté 386 échantillons de logiciels malveillants utilisant WannaCry.

Tout ceci était sans compter sur un développement positif de cette affaire : dans un forum spécialisé, un individu répondant au pseudonyme lightsentinelone a publié 200 clés maîtres de déchiffrement.

Ce n'est pas la première fois que des clés maîtres pour WannaCry sont diffusées, il s’agit même de la troisième vague. Cependant, ce qui distingue cette vague des autres, c'est le fait que les clés puissent également être utilisées pour déchiffrer les fichiers chiffrés avec des extensions .wallet et .onion.

Comme l’expliquent les ingénieurs d’ESET qui s’en sont servi pour développer un outil de déchiffrement, « Cela est devenu une habitude des opérateurs de Crysis ces derniers temps - ceci est la troisième fois que des clés sont diffusées de cette manière -. Depuis que le dernier ensemble de clés de déchiffrement a été publié, des attaques par le ransomware Crysis ont été détectées par nos systèmes plus de dix mille fois ».

Malgré cette bonne nouvelle, ESET rappelle que les ransomwares restent l'une des menaces informatiques les plus dangereuses actuellement et que la prévention est essentielle pour garder les utilisateurs en sécurité.

« Par conséquent, nous recommandons que tous les utilisateurs gardent leurs systèmes d'exploitation et leurs logiciels mis à jour, utilisent des solutions de sécurité fiables avec plusieurs couches de protection et sauvegardent régulièrement toutes les données importantes et précieuses à un emplacement hors connexion (comme le stockage externe) ».
.
Source : ESET

Voir aussi :

Microsoft dévoile une version de Windows 10 pour le gouvernement chinois, pour lui permettre de contrôler la télémétrie et le chiffrement dans ses SI
WindsorGreen : les plans de la NSA pour casser les chiffrements auraient été découverts en libre accès sur Internet, par un chercheur en sécurité
Affaire San Bernardino : le déchiffrement de l'iPhone aurait coûté moins cher qu'annoncé par le FBI, révèle le sénateur Feinstein
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 07/06/2017 à 13:55
L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10,
d'après des chercheurs de RiskSense

WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017. Le logiciel malveillant s’appuyait sur deux exploits de la NSA : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.

Alors que les dégâts de WannaCry étaient principalement limités aux machines tournant sur Windows 7, une version différente d'EternalBlue pourrait infecter Windows 10.

C’est en tout cas ce que suggèrent des chercheurs de RiskSense. Ils ont figuré parmi les premiers à analyser EternalBlue, sa charge utile DoublePulsar et la plateforme Fuzzbunch de la NSA (souvenez-vous de Metasploit). Ils ont déclaré qu'ils ne vont pas publier le code source du port Windows 10 pendant quelque temps, le cas échéant.

Dans le cadre de leurs analyses, ils ont découvert qu’il était possible de contourner les mécanismes de sécurité de Windows 10 en modifiant le code de l’exploit EternalBlue. Selon les chercheurs, la meilleure défense contre EternalBlue consiste à appliquer la mise à jour MS17-010 fournie en mars par Microsoft.

Les chercheurs ont publié un rapport dans lequel ils expliquent ce qui est nécessaire pour porter l'exploit de la NSA sur Windows 10. Ils prennent également le temps d’examiner les mesures d'atténuation mises en œuvre par Microsoft qui peuvent bloquer ces attaques.

« Nous avons omis certains détails de la chaîne d'exploit qui ne seraient utiles qu'aux attaquants et non à la construction de défenses », a déclaré l'analyste principal de recherche Sean Dillon. « La recherche est destinée à l'industrie de la sécurité de l'information des whites HAT afin d'accroître la compréhension et la connaissance de ces exploits. L’objectif est de voir se développer de nouvelles techniques prévenir des attaques futures. Cela aide les défenseurs à mieux comprendre la chaîne d'exploit afin qu'ils puissent construire des défenses face à l'exploit plutôt que face à la charge utile » .

Le module Metasploit disponible, qui est complètement séparé du nouveau port Windows 10, est une version simplifiée d'EternalBlue qui a réduit la quantité de trafic réseau impliqué et, par conséquent, plusieurs des règles du système de détection d'intrusion créées depuis la fuite et recommandées par les entreprises de sécurité et le gouvernement américain pourraient être contournées. Il supprime également la porte dérobée DoublePulsar, à laquelle Dillon a déclaré que de nombreuses entreprises de sécurité ont accordé une attention trop importante. DoublePulsar est un exploit au niveau du noyau abandonné par tous les exploits de la plateforme Fuzzbunch.

Il affirme que son équipe et lui ont réussi à « créer une nouvelle charge utile qui peut charger des logiciels malveillants directement sans installer au préalable la porte dérobée DoublePulsar. Ainsi, les personnes qui cherchent à se défendre contre ces attaques à l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons détecter et bloquer ».

Le nouveau port cible Windows 10 x64 version 1511, qui a été publié en novembre et était baptisé Threshold 2, est toujours pris en charge dans Windows Current Branch for Business. Les chercheurs ont pu contourner les atténuations introduites dans Windows 10 qui ne sont pas présentes dans Windows XP, 7 ou 8, et vaincre les dérivations EternalBlue pour DEP et ASLR.

« Pour nous connecter à Windows 10, nous avons dû créer une nouvelle dérivation pour DEP », a expliqué Dillon. Le rapport RiskSense présente plus de détails sur la nouvelle attaque, y compris sur la nouvelle charge utile qui vient remplacer DoublePulsar, dont Dillon a déclaré qu'elle était cryptographiquement instable et permet à quiconque de charger des logiciels malveillants secondaires. La nouvelle charge utile de RiskSense est une Asynchronous Procedure Call (APC) qui permet d'exécuter les charges utiles du mode utilisateur sans la porte dérobée.

« Une APC peut “emprunter” un thread de processus qui se trouve dans un état alertable inactif et s'il repose sur des structures dont les décalages changent entre les versions de Microsoft Windows, c'est l'un des moyens les plus fiables et les plus faciles de sortir du mode noyau et d'entrer dans le mode utilisateur », a expliqué RiskSense.

Source : rapport de RiskSense (au format PDF)
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 08/06/2017 à 9:30
Ransomware WannaCry : Quelles erreurs ont commises ses auteurs ?
Et comment en tirer profit, d’après Kaspersky Lab

Les chercheurs en sécurité sont désormais formels au sujet du degré de sophistication du ransomware WannaCry. Si ce dernier a bénéficié d’une forte couverture médiatique, c’est bien à cause de sa propagation à grande échelle causée par la négligence des acteurs du secteur de l’IT. WannaCry n’en est pas pour autant, aux dires des experts en sécurité, le plus sophistiqué des ransomwares de l’histoire. Les chercheurs de la firme de sécurité Kaspersky Lab ont passé son code au décryptage et dévoilé des failles qui permettent à des personnes possédant des ordinateurs infectés de récupérer leurs données.

Les chercheurs de la firme Kaspersky Lab rapportent qu’au moment de chiffrer les fichiers de la victime, le fichier original est lu, son contenu est chiffré et sauvegardé dans un autre avec l’extension .WNCRYPT. Le fichier avec l’extension .WNCRYPT est ensuite renommé avec l’extension .WNCRY et l’original est détruit ou simplement masqué. Ils rapportent que ce processus dépend de l’emplacement du fichier concerné au sein de l’ordinateur et de ses attributs.

Dans le cas des fichiers en lecture seule, les chercheurs rapportent que le ransomware crée une copie chiffrée des fichiers originaux qui, eux-mêmes, sont simplement masqués. On peut voir sur l’image ci-dessous que chaque fichier avec l’extension .WNCRY a un correspondant qui est le fichier original masqué. Ceci a comme implication que les fichiers sont aisément récupérables en procédant à une restauration de leurs attributs normaux.



Pour ce qui est des fichiers qui ont leur attribut lecture seule non activé, la situation est un peu plus complexe et dépend de l’emplacement du fichier au sein de l’ordinateur affecté. Les chercheurs rapportent que le code du ransomware fait le distinguo entre les fichiers situés sur la partition système et ceux situés en dehors. Pour ce qui est de la partition système, le code du ransomware discrimine les répertoires « importants » - répertoire Windows, documents, bureau, etc. - et ceux qui ne le sont pas, par exemple un fichier qui serait situé sur la racine de la partition système.

D’après ce qui ressort de leur analyse de la section de code du ransomware censée gérer les fichiers situés sur la partition système (cf. image 1 ci-dessous), ceux situés dans les répertoires importants sont écrasés avec des données aléatoires et ne peuvent donc être récupérés. Ceux situés dans les répertoires non marqués comme étant importants sont placés dans des fichiers dont le chemin d’accès est %TEMP%\%d.WNCRYT où %d représente une valeur numérique (cf. image 2 ci-dessous). Il s’agit en réalité des fichiers chiffrés qui, aux dires des chercheurs, correspondent aux originaux qui sont supprimés par le ransomware. Les chercheurs indiquent que l’usage d’un outil de récupération des données peut permettre de récupérer les fichiers originaux qui, même s’ils sont supprimés, laissent en principe des traces.



Il y a enfin le cas des données situées sur les partitions non système. Leur analyse de la section de code censée gérer des fichiers situés sur de telles partitions (cf. image 3 ci-dessous) révèle que le ransomware crée un répertoire masqué $RECYCLE invisible via l’explorateur de fichiers. Ce répertoire est censé accueillir les fichiers chiffrés. Les chercheurs font état de ce qu’à cause de certaines erreurs de synchronisation dans le code, la plupart des fichiers originaux demeurent à leur emplacement d’origine et ne sont pas déplacés vers le répertoire $RECYCLE. Dans ce cas également, la suppression des fichiers par le ransomware laisse des traces qui permettent une récupération à l’aide d’un outil dédié (cf. image 4 ci-dessous).



Il faudrait rappeler que cette publication des chercheurs de la firme Kaspersky Lab intervient dans un contexte où un certain nombre d’outils de déchiffrement ont déjà été mis à disposition du public. Un inconvénient majeur demeure cependant avec ces outils : la machine infectée ne doit pas avoir été redémarrée. La publication de la firme Kaspersky semble apporter un plus à ces développements ultérieurs en ce sens qu’elle donne une idée de l’emplacement des fichiers chiffrés et par conséquent des originaux. Ceci suppose que l’usage correct d’un outil de récupération des données sur un disque installé sur une machine d’emprunt peut permettre de récupérer des données.

Source : SECURELIST

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10, d'après des chercheurs de RiskSense
Faites attention aux faux correctifs de WannaCry diffusés en ligne, les chercheurs en sécurité recommandent la prudence et le bon sens
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 15/06/2017 à 16:42
La NSA soupçonne également la Corée du Nord d’être derrière WannaCry
en se basant sur les tactiques, techniques et objectifs du ransomware

À la mi-mai, un nouveau ransomware baptisé WannaCry a été utilisé dans une vaste campagne de cyberattaque qui a touché plus de 300 000 personnes dans environ 150 pays. Cette attaque a rapidement mobilisé la communauté de la cybersécurité dont les analyses pointent sur Lazarus, un groupe de hackers très connu, soupçonné d’être parrainé par le gouvernement nord-coréen. WannaCry exploite une faille dans Windows ; laquelle avait été découverte, mais gardée secrète par la NSA qui l’a probablement exploitée à des fins d’espionnage. L’exploit de la NSA a été malheureusement mis en ligne en avril dernier par Shadow Brokers, un autre groupe de pirates qui a réussi à dérober l’arsenal de piratage de la NSA l’an dernier.

L’agence nationale de sécurité des États-Unis (NSA) a également mené des investigations sur la campagne WannaCry. Ses résultats ont été publiés en interne la semaine dernière, d’après le Washington Post, qui en a été informé par une source proche des services de renseignements des États-Unis. Dans ce rapport qui n’a pas encore été divulgué, les investigations de la NSA permettent de remonter au gouvernement nord-coréen, d’après la source.

En se basant sur les tactiques, les techniques et les objectifs de la campagne WannaCry, la NSA indique avec une « confiance raisonnable » qu’il s’agit de l’œuvre du groupe Lazarus suspecté d’être parrainé par l'agence d’espionnage de la Corée du Nord, le Reconnaissance General Bureau (RGB). La NSA aurait par exemple identifié des adresses IP en Chine, historiquement utilisées par Lazarus pour brouiller ses pistes.

WannaCry était apparemment une tentative d'augmenter les revenus pour le régime autoritaire nord-coréen. La Corée du Nord étant l'un des pays les plus isolés au monde, le déploiement de capacités cybernétiques lui permettrait de générer des revenus pour le régime. L'année dernière, les chercheurs en sécurité ont identifié la Corée du Nord comme étant derrière une série de cyberattaques ciblant des banques en Asie, y compris la Banque centrale du Bangladesh où ils ont réussi à voler plus de 81 millions de dollars. Dans cette dernière, le groupe Lazarus, indexé par Kaspersky, a exploité une faille dans le système de paiement de la banque. Le fait qu'un pays utilise des outils cybernétiques pour voler des banques représente « un nouveau front troublant dans la cyberguerre », regrettait le directeur adjoint de la NSA, Richard Ledgett. « C'est un gros problème », avait-il déclaré en faisant allusion à la Corée du Nord sans la citer.

Le dernier effort de générer des revenus via le ransomware WannaCry a toutefois été un échec. Bien que les pirates aient obtenu 140 000 $ en bitcoins, jusqu'à présent, ils ne l'ont pas encaissé. Ils devraient craindre de se faire prendre par les forces de l’ordre, probablement à cause d’une erreur opérationnelle qui a rendu les transactions faciles à suivre. « Aucune plateforme d’échange de devises en ligne ne touchera [cet argent] », a déclaré Jake Williams, fondateur de Rendition Infosec, une firme de cybersécurité. « C'est comme prendre sciemment des factures entachées d’un vol de banque », dit-il.

Jake Williams, qui a également analysé attentivement le code de WannaCry, dit être convaincu que le ransomware s'est évadé accidentellement dans une phase de test. Il explique cela par certaines de ses lacunes, comme l’incapacité de l’attaquant à dire qui a payé la rançon ou non. Néanmoins, dit-il, cela montre qu’une faille peut être transformée en arme avec le soutien d’un gouvernement pour déployer un ransomware. « Si la Corée du Nord s'en tire avec cela, je m'attends à ce que d'autres pays en développement suivent leur exemple. Je pense que cela changerait un peu le paysage cybernétique », a-t-il ajouté.

Source : The Washington Post

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Industroyer : un malware conçu pour prendre le contrôle des lignes électriques est celui qui a récemment plongé Kiev dans le noir
Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris sur un lien contenu dans un fichier PowerPoint
Le malware Turla joint son centre de contrôle et commande via des commentaires Instagram, d'après une publication de la firme ESET
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 16/06/2017 à 3:08
pourquoi relayer les annonces de la nsa comme celle ci ??? on ne les crois plus !
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 16/06/2017 à 7:14
le 17 mai dernier déjà, Symantec, Kaspersky Labs, des chercheurs indépendants comme Mathieu Suiche etc. annonçaient que le code des premières versions de WCry avait des allures de déjà vu du Lazarus Group, lequel est identifié depuis pas mal de temps comme ayant des liens avec la Corée du Nord

quand la NSA annonce ça 3 semaines après, non seulement ce n'est pas vraiment un scoop, mais ce ne sont finalement que les conclusions de l'enquête qu'ils menaient jusqu'alors

quant à plus y croire, battre le pavillon de la révolte ou s'offusquer de ci ou ça franchement...
faudrait que la NSA fasse une annonce: "ne vous jetez pas du haut d'une falaise, la chute pourrait être mortelle", du coup les moutons y croiraient bêtement, tandis que les plus malins eux, qui savent que la NSA ment, iraient se jeter du haut de la falaise
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 23/06/2017 à 5:54
WannaCry : infection de 55 caméras de trafic routier en Australie
Pendant des opérations de maintenance

La radio australienne 3AW s’est fait le relais d’une information très fraîche en ce qui concerne le célèbre ransomware WannaCry. Un porte-parole du Département de la justice de l’État de Victoria en Australie a indiqué que 55 caméras de trafic routier ont été infectées par ce dernier depuis la semaine dernière.

Les infections se seraient produites suite à l’introduction d’une clé USB infectée par le ransomware sur lesdites caméras – qui, apparemment, tournaient sous une version de Windows non mentionnée – pendant des opérations de maintenance. Seulement, les caméras n’étant connectées ni à Internet ni entre elles, l’infection s’est limitée à chacune d’elles.

L’infection des caméras a, aux dires du porte-parole du Département de la justice, eu pour seul effet de les faire redémarrer de temps en temps, le reste de leurs fonctionnalités étant demeurées intactes. Il a donc indiqué que les infractions enregistrées par ces dernières pendant cette période seraient bel et bien prises en compte.

Le mode de propagation évoqué par le porte-parole laisse cependant songeur. On sait jusqu’ici que le ransomware WannaCry se réplique d’ordinateur en ordinateur via Internet en exploitant des failles dans le protocole SMB utilisé sous Windows. Le cas de ces caméras de trafic routier suppose que l’on aurait affaire à une version de WannaCry capable de résider sur un support amovible en attendant son insertion dans un ordinateur qu’il prend alors en otage, ce qui, semble-t-il, serait une première.

Les techniciens ont sûrement eu confirmation de la nature de l’infection via un moniteur de contrôle qui leur a affiché le traditionnel message de demande de la rançon. Quoi qu’il en soit, le porte-parole a déclaré que des dispositions sont prises pour un retour à la normale dans les jours qui suivent.

Le ransomware WannaCry, qui a commencé à sévir en mai dernier, reste donc bien présent. On en a la preuve avec le cas de ces caméras, mais celui encore plus récent du constructeur automobile japonais Honda qui a dû arrêter sa production lundi dernier pour cause d’infection. Les responsables IT sont donc plus que jamais appelés à prendre les précautions nécessaires pour prémunir les systèmes de leurs entreprises respectives contre ces attaques.

Sources : 3AW, The Guardian, Reuters

Et vous ?

Que pensez-vous particulièrement du mode de propagation évoqué par le porte-parole du Département de la justice ?

Voir aussi :

Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes et aux gouvernements leurs responsabilités
La Corée du Nord serait-elle derrière le ransomware WCry ? Des indices dans le code le suggèrent
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 23/06/2017 à 13:28
Citation Envoyé par Patrick Ruiz Voir le message

Les infections se seraient produites suite à l’introduction d’une clé USB infectée par le ransomware sur lesdites caméras – qui, apparemment, tournaient sous une version de Windows non mentionnée – pendant des opérations de maintenance.
ChipGenius

Encore heureux que tous n'y soient pas... Et surtout que tous n'aient pas les mêmes "méthodes de reprogrammation"...
Avatar de alexetgus alexetgus - Nouveau membre du Club https://www.developpez.com
le 24/06/2017 à 9:35
un groupe de hackers très connu, soupçonné d’être parrainé par le gouvernement nord-coréen.
En Corée du Nord, est-ce qu'on peut vraiment parler de "parrainage" ?
Offres d'emploi IT
Expert Technico Fonctionnel Sharepoint H/F
Safran - Ile de France - Corbeil (91)
Ingénieur développement électronique H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Architecte / concepteur électronique numérique H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil