Il est fort probable que le groupe Lazarus soit derrière le ransomware WannaCry
D'après la firme de sécurité Symantec

Le , par Patrick Ruiz

60PARTAGES

8  0 
Il y a déjà une semaine que Neel Mehta, chercheur en sécurité chez Google a fait le rapprochement entre le code du ransomware WannaCry (dans sa version du mois de février) et celui du malware Cantopee. Les similitudes dans le code avaient permis de lier un groupe nord-coréen nommé Lazarus au ransomware WannaCry. Il subsistait cependant un doute, le ransomware WannaCry dans sa version de mai ne portait pas les signatures retrouvées dans celle du mois de février, ce qui laissait penser à une manœuvre de diversion.

La firme de sécurité Symantec a aussi mené des investigations sur les similitudes entre le ransomware WannaCry et le malware Cantopee. Symantec se veut clair, les versions de WannaCry de février et de mai sont globalement identiques, avec cependant quelques changements. La version de mai diffèrerait de celle de février essentiellement par l’utilisation de l’exploit EternalBlue qui lui a conféré son caractère d’arme de destruction de masse. Symantec a clairement établi le lien entre les versions de WannaCry du mois de février et celle de mai en évoquant le fait que les mots de passe des fichiers .Zip contenus dans l’injecteur de WannaCry sont similaires dans les deux versions. Il s’agit des chaînes de caractères : wcry@123, wcry@2016 et WNcry@2ol7.

Les similitudes entre la version de WannaCry de février et le malware Cantopee ayant été établies, ce nouvel élément de Symantec (le lien entre les versions de WannaCry de février et de mai) augmente la probabilité que le groupe Lazarus soit l’auteur du ransomware WannaCry. C’est d’ailleurs ce que semble affirmer Vikram Thakur, directeur technique chez Symantec, lorsqu’il s’exprime au micro de Reuters en disant que « nous sommes sûrs du fait qu’il s’agit du travail de personnes liées au groupe Lazarus puisqu’elles devaient avoir accès au code source. » Et d’ajouter que « nous ne pensons pas qu’il s’agisse d’une opération pilotée par un gouvernement. »

Au sujet d’un possible commandite du gouvernement nord-coréen, Vikram Thakur a ajouté : « le fait que les hackers aient demandé des rançons avant que les fichiers ne soient déchiffrés prouve qu’ils ne travaillent pas pour le gouvernement nord-coréen. »

Sources : Symantec, Reuters

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées
Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes, et aux gouvernements leurs responsabilités
La Corée du Nord serait-elle derrière le ransomware WCry ? Des indices dans le code le suggèrent

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 23/05/2017 à 20:21
J'ai hâte que nos frigo et lave linge connectées choppe un virus et crée une belle attaque DDOS sur les big brother.
Tu rigoleras moins quand tu devras jeter son contenu car programmé pour s’arrêter tout seul, qu'il te commande des courses sans ton aval, et que ton lave-linge provoquera un dégâts des eaux suite à reprogrammation.

Connecter un frigo ou un lave-linge à Internet, non mais allo quoi ...
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 23/05/2017 à 20:37
Citation Envoyé par chrtophe Voir le message
Connecter un frigo ou un lave-linge à Internet, non mais allo quoi ...
ou pire encore, imagine un téléphone connecté à internet, et qu'en plus on se baladerait avec en permanence, "LOL", aucune chance que ça arrive un jour heureusement...
Avatar de Florian_PB
Membre averti https://www.developpez.com
Le 24/05/2017 à 15:17
Citation Envoyé par Patrick Ruiz Voir le message
Au sujet d’un possible commandite du gouvernement nord-coréen, Vikram Thakur a ajouté : « le fait que les hackers aient demandé des rançons avant que les fichiers ne soient déchiffrés prouve qu’ils ne travaillent pas pour le gouvernement nord-coréen. »
Ce n'est pas parce qu'une rançon a été réclamée qu'ils ne sont pas liés au gouvernement, ils peuvent très bien vouloir renflouer leurs caisses tout en ayant été commandités par une entité extérieure. Rien ne dit non plus qu'ils n'ont pas travaillé seul derrière.
Avatar de mh-cbon
Membre averti https://www.developpez.com
Le 24/05/2017 à 16:15
Citation Envoyé par Florian_PB Voir le message
Ce n'est pas parce qu'une rançon a été réclamée qu'ils ne sont pas liés au gouvernement, ils peuvent très bien vouloir renflouer leurs caisses tout en ayant été commandités par une entité extérieure. Rien ne dit non plus qu'ils n'ont pas travaillé seul derrière.
ouais je ne sais pas de quel pays imaginaire tu t'inspires, mais avec le butin récolté tu ne fais pas vivre trois peknos à shanghai ad vitam æternam

on parle de combien 100 / 150 / 200 K $ je crois ? Même en corée du nord on en rigole
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 24/05/2017 à 16:32
Faites attention aux faux correctifs de WannaCry diffusés en ligne,
les chercheurs en sécurité recommandent la prudence et le bon sens

Avec la vague d’attaques au ransomware WannaCry, les experts en sécurité ont recommandé aux entreprises de faire attention aux correctifs qu’ils téléchargent sur Internet. « Ils exploitent vraiment les craintes de tous », a expliqué Adam Malone, directeur des enquêtes numériques de l’entreprise PwC basée à New York.

Il a rappelé que les vendeurs légitimes ne vont pas envoyer des alertes via des publications virales sur les réseaux sociaux. De plus, il a souligné que les correctifs ne nécessitent d’ordinaire pas de téléchargement : « Ils sont généralement fournis via le logiciel de mise à jour du fournisseur ». « Dans ce cas particulier, le correctif est fourni par Microsoft officiellement grâce à son service de mise à jour Windows ».

Pour obtenir le patch, tout ce que les utilisateurs doivent faire c’est lancer leur programme Windows Update.

De même, il a rappelé que les fournisseurs d'antivirus distribuent automatiquement les nouvelles signatures via des mises à jour logicielles : « Ils ne sont jamais distribués via un lien ou un message texte ou un site de réseautage social ».

Et dans les cas où un patch doit être téléchargé ou si les utilisateurs choisissent de faire une mise à jour manuelle, ils devraient être sûrs qu'ils se trouvent sur le site Web officiel du fournisseur et non sur un site tiers.

Par exemple, Microsoft a publié des liens de mises à jour à l’intention d’anciennes versions de son système d'exploitation, ainsi que sa Microsoft Malicious Software Removal Tool (MSRT) pour détecter et supprimer le malware WannaCrypt dans un billet de blog officiel. L’entreprise a prévenu que « Pour les clients qui exécutent Windows Update, l'outil détecte et supprime WannaCrypt et d'autres infections malveillantes répandues. Les clients peuvent également télécharger et exécuter manuellement l'outil en suivant les instructions. L'outil MSRT s'exécute sur tous les ordinateurs Windows pris en charge où les mises à jour automatiques sont activées, y compris celles qui ne fonctionnent pas avec d'autres produits de sécurité Microsoft ».

Certains fraudeurs vont même tenter de vendre des correctifs, a déclaré Cathie Brown, vice-présidente de la société de conseil en technologie Impact Makers inc. « Chaque fois qu'il y a une attaque à grande échelle ou une attaque de malware lancée, nous voyons émerger de faux correctifs », a-t-elle déclaré. « Tout comme le système de ransomware, il est facile de coder et de déployer un faux correctif - il peut rapidement devenir rentable ».

Aussi, même si cela peut sembler évident, elle recommande la prudence et le bon sens : « Aucune entreprise de sécurité ou d'informatique réputée ne va essayer de vendre des correctifs aux vulnérabilités des logiciels malveillants lorsque vous pouvez l'obtenir gratuitement par Microsoft », a-t-elle déclaré.

Damien Hugoo, directeur de la gestion de produits chez Easy Solutions, inc., a déclaré qu’il y a même eu des applications dans des magasins d'applications tierces offrant des correctifs à WannaCry. Pourtant, comme il l’a rappelé, « WannaCry n'affecte même pas les appareils mobiles ».

Les cybercriminels qui lancent des attaques de phishing utilisent également le nom « WannaCry » pour inciter les utilisateurs à cliquer sur des liens malveillants. Par exemple, au Royaume-Uni où le service national de santé a été touché par le virus, les utilisateurs ont reçu un courriel prétendant être de BT qui leur a demandé de cliquer sur un lien pour confirmer une mise à niveau de sécurité.

Un autre courriel a prétendu être issu de LogMeIn, inc., connu pour ses produits tels que GoToMeeting, GoToMyPC, LastPass et LogMeIn. Selon la publication du blog de l'entreprise, ce courriel a déclaré aux utilisateurs qu'ils étaient déjà infectés par WannaCry et qu'ils avaient besoin de mettre à jour leur logiciel LogMeIn en cliquant sur un lien qui semblait pointer vers le site officiel. L'adresse de retour affichait « LogMeIn.com Auto-Mailer » au niveau du nom, mais l’adresse de retour réelle était une chaîne de caractères aléatoires.

Une autre arnaque consiste à envoyer un message qui indique aux utilisateurs qu'ils sont infectés et leur demander de l'argent. Notons que, dans ces cas-là, les ordinateurs ne sont en réalité pas infectés ou les fichiers ne sont pas chiffrés. « Cela ne coûte pas grand-chose aux criminels de diffuser ce genre de messages », a déclaré Malone de PwC.

Source : blog TechNet, PwC, Impact Makers
Avatar de Florian_PB
Membre averti https://www.developpez.com
Le 24/05/2017 à 16:51
Dans ce dernier cas c'est juste les gens qui n'ont pas assimilés les réflexes de base que nous autres surhommes informaticiens avons, pas de leur fautes s'ils sont ignorants n'ont pas été éduqués pour contrer ce genre de méthodes.

Edit : je suis totalement ironique, ce n'est pas à prendre au premier degré. je dis juste que ceux qui n'ont pas reçu "d'éducation informatique" ne savent pas forcément démêler le vrai du faux de ce qu'ils voient sur internet dès que ça parle de virus et de sécurité informatique.
Avatar de mh-cbon
Membre averti https://www.developpez.com
Le 24/05/2017 à 16:56
Citation Envoyé par Florian_PB Voir le message
Dans ce dernier cas c'est juste les gens qui n'ont pas assimilés les réflexes de base que nous autres surhommes informaticiens avons, pas de leur fautes s'ils sont ignorants n'ont pas été éduqués pour contrer ce genre de méthodes.
je m’insurge en faux la dessus, ce serait dire que les gens sont idiot par inertie (héréditaire/environnementale/whatever). Je proclames que les méthodes d'enseignements d'informatiques nécessite d'être adaptées à tous, car le choix n'existe simplement pas, et puis parce que c'est relou de se dire que les gens sont stupide par inertie.

Dit autrement, ils échouent, car nous avons échoué à leurs transmettre les connaissances.
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 24/05/2017 à 17:00
Après les "les terroristes modérés", et les "incidents terroristes" que l'on voit en gros titre dans la presse, ce sont eux qui ont inventé ces termes, maintenant les chercheurs en sécurité recommandent la prudence et le bon sens.

On vit chez les fous?

N'importe qui peut devenir chercheur en sécurité en lançant ce genre de protection
Avatar de Florian_PB
Membre averti https://www.developpez.com
Le 24/05/2017 à 17:02
Citation Envoyé par mh-cbon Voir le message
je m’insurge en faux la dessus, ce serait dire que les gens sont idiot par inertie (héréditaire/environnementale/whatever). Je proclames que les méthodes d'enseignements d'informatiques nécessite d'être adaptées à tous, car le choix n'existe simplement pas, et puis parce que c'est relou de se dire que les gens sont stupide par inertie.

Dit autrement, ils échouent, car nous avons échoué à leurs transmettre les connaissances.
C'était totalement ironique là dessus, seulement le soucis est que ceux qui travaillent dedans où s'y intéressent de près possèdent déjà des reflexes de base par rapport à l'informatique et ne se feront pas berner par ces faux patchs là où Mme Michu qui sait pas forcément comment ça marche va naturellement cliquer sur la jolie pub qui propose de télécharger un patch anti WannaCry.
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 29/05/2017 à 12:52
Citation Envoyé par NSKis Voir le message
Et donc quand tu déclares tes variables au lieu d'écrire un "DisplayID", tu écris "isibonisiID" et on conclut... que tu es un horrible hacker... Zoulou!!!
Ca renvois au mème. ci c'est du code compilé tu n'a pas de variables explicites de ce type dans le code assembleur.

ou alors tu as des string avec du coréens .. et la ça pousse le débile a un autre niveau.

quel était le langage de dev du malware ?
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web