La NSA soupçonne également la Corée du Nord d'être derrière WannaCry
En se basant sur les tactiques, techniques et objectifs du ransomware

Le , par Michael Guilloux, Chroniqueur Actualités
À la mi-mai, un nouveau ransomware baptisé WannaCry a été utilisé dans une vaste campagne de cyberattaque qui a touché plus de 300 000 personnes dans environ 150 pays. Cette attaque a rapidement mobilisé la communauté de la cybersécurité dont les analyses pointent sur Lazarus, un groupe de hackers très connu, soupçonné d’être parrainé par le gouvernement nord-coréen. WannaCry exploite une faille dans Windows ; laquelle avait été découverte, mais gardée secrète par la NSA qui l’a probablement exploitée à des fins d’espionnage. L’exploit de la NSA a été malheureusement mis en ligne en avril dernier par Shadow Brokers, un autre groupe de pirates qui a réussi à dérober l’arsenal de piratage de la NSA l’an dernier.

L’agence nationale de sécurité des États-Unis (NSA) a également mené des investigations sur la campagne WannaCry. Ses résultats ont été publiés en interne la semaine dernière, d’après le Washington Post, qui en a été informé par une source proche des services de renseignements des États-Unis. Dans ce rapport qui n’a pas encore été divulgué, les investigations de la NSA permettent de remonter au gouvernement nord-coréen, d’après la source.

En se basant sur les tactiques, les techniques et les objectifs de la campagne WannaCry, la NSA indique avec une « confiance raisonnable » qu’il s’agit de l’œuvre du groupe Lazarus suspecté d’être parrainé par l'agence d’espionnage de la Corée du Nord, le Reconnaissance General Bureau (RGB). La NSA aurait par exemple identifié des adresses IP en Chine, historiquement utilisées par Lazarus pour brouiller ses pistes.

WannaCry était apparemment une tentative d'augmenter les revenus pour le régime autoritaire nord-coréen. La Corée du Nord étant l'un des pays les plus isolés au monde, le déploiement de capacités cybernétiques lui permettrait de générer des revenus pour le régime. L'année dernière, les chercheurs en sécurité ont identifié la Corée du Nord comme étant derrière une série de cyberattaques ciblant des banques en Asie, y compris la Banque centrale du Bangladesh où ils ont réussi à voler plus de 81 millions de dollars. Dans cette dernière, le groupe Lazarus, indexé par Kaspersky, a exploité une faille dans le système de paiement de la banque. Le fait qu'un pays utilise des outils cybernétiques pour voler des banques représente « un nouveau front troublant dans la cyberguerre », regrettait le directeur adjoint de la NSA, Richard Ledgett. « C'est un gros problème », avait-il déclaré en faisant allusion à la Corée du Nord sans la citer.

Le dernier effort de générer des revenus via le ransomware WannaCry a toutefois été un échec. Bien que les pirates aient obtenu 140 000 $ en bitcoins, jusqu'à présent, ils ne l'ont pas encaissé. Ils devraient craindre de se faire prendre par les forces de l’ordre, probablement à cause d’une erreur opérationnelle qui a rendu les transactions faciles à suivre. « Aucune plateforme d’échange de devises en ligne ne touchera [cet argent] », a déclaré Jake Williams, fondateur de Rendition Infosec, une firme de cybersécurité. « C'est comme prendre sciemment des factures entachées d’un vol de banque », dit-il.

Jake Williams, qui a également analysé attentivement le code de WannaCry, dit être convaincu que le ransomware s'est évadé accidentellement dans une phase de test. Il explique cela par certaines de ses lacunes, comme l’incapacité de l’attaquant à dire qui a payé la rançon ou non. Néanmoins, dit-il, cela montre qu’une faille peut être transformée en arme avec le soutien d’un gouvernement pour déployer un ransomware. « Si la Corée du Nord s'en tire avec cela, je m'attends à ce que d'autres pays en développement suivent leur exemple. Je pense que cela changerait un peu le paysage cybernétique », a-t-il ajouté.

Source : The Washington Post

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Industroyer : un malware conçu pour prendre le contrôle des lignes électriques est celui qui a récemment plongé Kiev dans le noir
Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris sur un lien contenu dans un fichier PowerPoint
Le malware Turla joint son centre de contrôle et commande via des commentaires Instagram, d'après une publication de la firme ESET


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 16/06/2017 à 3:08
pourquoi relayer les annonces de la nsa comme celle ci ??? on ne les crois plus !
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 16/06/2017 à 7:14
le 17 mai dernier déjà, Symantec, Kaspersky Labs, des chercheurs indépendants comme Mathieu Suiche etc. annonçaient que le code des premières versions de WCry avait des allures de déjà vu du Lazarus Group, lequel est identifié depuis pas mal de temps comme ayant des liens avec la Corée du Nord

quand la NSA annonce ça 3 semaines après, non seulement ce n'est pas vraiment un scoop, mais ce ne sont finalement que les conclusions de l'enquête qu'ils menaient jusqu'alors

quant à plus y croire, battre le pavillon de la révolte ou s'offusquer de ci ou ça franchement...
faudrait que la NSA fasse une annonce: "ne vous jetez pas du haut d'une falaise, la chute pourrait être mortelle", du coup les moutons y croiraient bêtement, tandis que les plus malins eux, qui savent que la NSA ment, iraient se jeter du haut de la falaise
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 23/06/2017 à 5:54
WannaCry : infection de 55 caméras de trafic routier en Australie
Pendant des opérations de maintenance

La radio australienne 3AW s’est fait le relais d’une information très fraîche en ce qui concerne le célèbre ransomware WannaCry. Un porte-parole du Département de la justice de l’État de Victoria en Australie a indiqué que 55 caméras de trafic routier ont été infectées par ce dernier depuis la semaine dernière.

Les infections se seraient produites suite à l’introduction d’une clé USB infectée par le ransomware sur lesdites caméras – qui, apparemment, tournaient sous une version de Windows non mentionnée – pendant des opérations de maintenance. Seulement, les caméras n’étant connectées ni à Internet ni entre elles, l’infection s’est limitée à chacune d’elles.

L’infection des caméras a, aux dires du porte-parole du Département de la justice, eu pour seul effet de les faire redémarrer de temps en temps, le reste de leurs fonctionnalités étant demeurées intactes. Il a donc indiqué que les infractions enregistrées par ces dernières pendant cette période seraient bel et bien prises en compte.

Le mode de propagation évoqué par le porte-parole laisse cependant songeur. On sait jusqu’ici que le ransomware WannaCry se réplique d’ordinateur en ordinateur via Internet en exploitant des failles dans le protocole SMB utilisé sous Windows. Le cas de ces caméras de trafic routier suppose que l’on aurait affaire à une version de WannaCry capable de résider sur un support amovible en attendant son insertion dans un ordinateur qu’il prend alors en otage, ce qui, semble-t-il, serait une première.

Les techniciens ont sûrement eu confirmation de la nature de l’infection via un moniteur de contrôle qui leur a affiché le traditionnel message de demande de la rançon. Quoi qu’il en soit, le porte-parole a déclaré que des dispositions sont prises pour un retour à la normale dans les jours qui suivent.

Le ransomware WannaCry, qui a commencé à sévir en mai dernier, reste donc bien présent. On en a la preuve avec le cas de ces caméras, mais celui encore plus récent du constructeur automobile japonais Honda qui a dû arrêter sa production lundi dernier pour cause d’infection. Les responsables IT sont donc plus que jamais appelés à prendre les précautions nécessaires pour prémunir les systèmes de leurs entreprises respectives contre ces attaques.

Sources : 3AW, The Guardian, Reuters

Et vous ?

Que pensez-vous particulièrement du mode de propagation évoqué par le porte-parole du Département de la justice ?

Voir aussi :

Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes et aux gouvernements leurs responsabilités
La Corée du Nord serait-elle derrière le ransomware WCry ? Des indices dans le code le suggèrent
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 23/06/2017 à 13:28
Citation Envoyé par Patrick Ruiz Voir le message

Les infections se seraient produites suite à l’introduction d’une clé USB infectée par le ransomware sur lesdites caméras – qui, apparemment, tournaient sous une version de Windows non mentionnée – pendant des opérations de maintenance.
ChipGenius

Encore heureux que tous n'y soient pas... Et surtout que tous n'aient pas les mêmes "méthodes de reprogrammation"...
Avatar de alexetgus alexetgus - Nouveau membre du Club https://www.developpez.com
le 24/06/2017 à 9:35
un groupe de hackers très connu, soupçonné d’être parrainé par le gouvernement nord-coréen.
En Corée du Nord, est-ce qu'on peut vraiment parler de "parrainage" ?
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 03/08/2017 à 21:22
WannaCry : les cybercriminels vident les portefeuilles Bitcoin de collecte des rançons
L’équivalent de 140 000 $

Les activités néfastes du ransomware WannaCry ont été rapportées dès le 13 mai dernier. Parallèlement à cette « apocalypse » numérique, un bot Twitter de suivi des trois portefeuilles Bitcoin a été mis en place par un développeur. Ce dernier semblait indiquer une cessation des paiements de rançon, le montant total engrangé étant de 100 000 $. De récentes activités du bot indiquent que les paiements ont continué après cette période permettant aux cybercriminels de retirer l’équivalent de 140 000 $ en quelques minutes ce matin.

140 000 $, c’est peu, estiment certains observateurs, en comparaison à la forte médiatisation qu’il y a eu autour de cette cyberattaque. Le ransomware, basé sur un exploit de la NSA ciblant les systèmes Windows, a infecté plus de 300 000 ordinateurs de par le monde, la rançon minimum exigée par poste de travail s’élevant à 300 $.

Le succès en termes de collecte des rançons n’a cependant pas été au rendez-vous pour les cybercriminels. Ces derniers ont commis de nombreuses erreurs qui ont tour à tour permis à des chercheurs en cybersécurité de mettre sur pied un outil de déchiffrement pour PC Windows XP uniquement, puis un autre de portée plus large couvrant les systèmes d’exploitation Windows XP à 7. La firme de sécurité Kaspersky Lab avait également publié un article soulignant des erreurs permettant de récupérer des fichiers.

L’union de la communauté de la cybersécurité a donc sérieusement plombé la collecte des rançons, toutes choses qui font qu’en date du 24 juillet dernier le butin s’élève à 140 000 $. L’activité du bot Twitter indique que les auteurs du ransomware ont procédé au vidage de ces portefeuilles ce matin en sept retraits étalés sur une durée de sept à dix minutes.

Le mystère demeure toujours sur l’origine de l’attaque et le fait que les transactions se fassent sur le réseau Bitcoin contribue largement à cet état de choses. Fin mai, une publication de la firme de sécurité Symantec a révélé qu’il est fort probable que le groupe Lazarus soit derrière ces cyberattaques. Faisant suite à cette publication, la firme de sécurité Kaspersky Lab avait elle aussi abouti à la même conclusion. Du côté des États-Unis, même son de cloche au niveau de la NSA qui avait elle aussi déclaré être sûre de son diagnostic avec une confiance « raisonnable ».

Source : bot_Twitter

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi et cible les services de ressources humaines
Karmen : un ransomware-as-a-service qui permet à tout amateur de mener des attaques de ransomware contre la modique somme de 175 dollars
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 03/08/2017 à 21:35
sur le même sujet et sans vouloir polluer la news; le hacker Marcus Hutchins qui avait enregistré le domaine servant de killswitch à WCry en mai dernier a été arrêté après la Defcon et est détenu par le FBI

Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 03/08/2017 à 21:58
USA : le chercheur en sécurité britannique qui a mis fin à la propagation de WannaCry arrêté par le FBI
après la conférence Def Con sur la cybersécurité

En mai, WannaCry a commencé à semer la terreur en faisant de nombreuses victimes dans le monde. Des hôpitaux au Royaume-Uni, une société espagnole de télécommunications et d'autres cibles en Russie, en Turquie, en Allemagne, au Vietnam et dans bien d’autres pays encore. Cette nouvelle menace mondiale a tout de suite attiré l’attention des chercheurs en sécurité, qui comme d’habitude cherchaient à savoir comment WannaCry fonctionne, se propage et si possible comment l’arrêter.

Le jeune Britannique Marcus Hutchins, plus connu sous le nom de MalwareTech, faisait partie de ces chercheurs qui se sont lancés dans l’analyse du code de WannaCry. C’est alors qu’il a déclenché par hasard un kill switch (une sorte de bouton d’urgence) qui était dans le code du malware. WannaCry essaie en effet d’établir une connexion avec un domaine non enregistré. Mais tant que ce domaine n’était pas enregistré, le malware n’arrivait pas à établir la connexion et continuait son infection, mais s’il arrivait à se connecter au domaine, il arrêtait alors l’infection. Sans le savoir, Marcus Hutchins a enregistré le domaine avec lequel le malware essayait d’établir une connexion et publié une page sur le domaine. Son intention était de suivre la propagation de WannaCry, mais il découvre que cela a eu pour effet secondaire d’arrêter la propagation de l’infection. C’est ainsi qu’il est devenu un héros.


Marcus Hutchins, plus connu sous le nom de MalwareTech

Passionné du hacking, Marcus Hutchins est le genre de personnes qui ne manquent pas les conférences internationales sur la cybersécurité comme le Black Hat et la Def Con qui se sont tenues l’une après au cours des deux dernières semaines à Las Vegas.

Ce mercredi, quelques jours après la Def Con, le jeune chercheur en sécurité britannique a été arrêté par les autorités américaines, une information confirmée par de nombreux médias américains. Motherboard a également pu vérifier qu'une personne appelée Marcus Hutchins, âgée de 23 ans, était détenue au centre de détention d'Henderson au Nevada tôt le jeudi. Quelques heures après, Hutchins a été déplacé vers une autre endroit, selon un ami proche. Ce dernier a déclaré qu'ils « ont essayé de le visiter dès que le centre de détention a ouvert [aujourd'hui], mais il avait déjà été transféré. »

Pour le moment, nul ne sait les raisons de son arrestation et encore moins s’il y a un lien avec l’affaire WannaCry. « Nous ne savons toujours pas pourquoi Marcus a été arrêté et maintenant, nous n'avons aucune idée de l'endroit où il a été emmené et nous sommes extrêmement préoccupés pour son bien-être », a déclaré la source. Tout ce qu’on sait, c’est que le chercheur a été arrêté par le FBI. Un porte-parole des maréchaux des États-Unis a en effet déclaré que « c'était une arrestation par le FBI ».

Les autorités britanniques semblent également informées de la situation, mais n’en disent pas plus, à part affirmer que c’est une affaire avec les forces de l’ordre des États-Unis. « Nous sommes conscients qu'un ressortissant du Royaume-Uni a été arrêté, mais c'est une affaire des autorités aux États-Unis », a déclaré un porte-parole de l'Agence nationale britannique du crime. Au centre national britannique de la cybersécurité, c’est le même ton : « Nous sommes au courant de la situation. Il s'agit d'une question d'application de la loi et il serait inapproprié d’en dire plus. »

L’affaire suit son cours. Nous vous tiendrons donc informés quand il y aura du nouveau. Pendant ce temps, on apprend que les fonds extorqués aux victimes de la campagne WannaCry ont été retirés, soit l’équivalent de 140 000 dollars encaissés en quelques minutes ce matin.

Source : Vice

Et vous ?

Qu’en pensez-vous ?
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 04/08/2017 à 8:47
La raison invoquée pour les chefs d'inculpation est très floue et comme le dit l'EFF si quelqu'un d'autre reprend ton code et l'utilise à des fins malveillantes ne veut pas dire que l'on est responsable. Sinon on peut condamner tout de suite les libs de dev open sources vus qu'elles sont aussi massivement reprises dans des malware
Avatar de Afaure Afaure - Futur Membre du Club https://www.developpez.com
le 04/08/2017 à 10:59
ça part en *** vraiment là , je pige pas pourquoi ils ont arrêté le hacker qui à trouvé , en plus ils soupçonnent la Corée maintenant , on va terminer avec les illuminatis et tout ou quoi ?!

Les responsables , ce sont les shadows brokers , ce sont eux qui ont dérobés ces failles à la NSA , et des petits malins en ont profité .
Il ne faut pas aller bien loin , regardez : http://www.lemonde.fr/pixels/article...8_4408996.html

Je vous laisse méditer , Bonne journée .
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 05/08/2017 à 16:50
WannaCry : une partie des bitcoins liés aux rançons convertis en Monero
Une cryptomonnaie dont les transactions seraient « non traçables »

Le bot_Twitter de suivi des adresses Bitcoin utilisées par les auteurs du ransomware a récemment détecté une activité sur ces derniers. On sait que les cybercriminels ont procédé en multiples retraits pour un montant total en bitcoins équivalent à 140 000 $. De récents développements de Forbes à ce sujet indiquent qu’une partie de ces bitcoins a été convertie en Monero, une autre cryptomonnaie dont les montants des transactions ne seraient pas publiés sur la chaîne de blocs associée.

La communauté de la cybersécurité guette une éventuelle erreur des auteurs du ransomware WannaCry pour les démasquer. Sachant qu’ils sont attendus sur les failles du réseau Bitcoin permettant de remonter à eux, les cybercriminels ont opté pour l’exploitation d’un service de change de cryptomonnaies permettant de convertir les bitcoins en leur possession en Monero. Ils ont cependant agi avec prudence en procédant au change d’une partie seulement du montant en leur possession.

Forbes rapporte que 13,5 bitcoins, soit l’équivalent de 36 922 $, ont été convertis en Monero par le biais de Shapeshift.io, un service de change suisse. « Les transactions sur le réseau Monero sont entièrement anonymisées », a déclaré Giancarlo Russo, CEO de Neutrino, une firme de sécurité italienne. Ce dernier ajoute même qu’« il ne sera plus possible de tracer les futures transactions ». Les cybercriminels seraient donc, comme qui dirait, en train de réussir le pari de s’approprier cet argent sans se faire identifier.

Le service de change de la société suisse permet d’effectuer une transaction sans qu’il ne soit nécessaire de créer un compte. Cet état de choses a dû contribuer à faciliter la tâche des cybercriminels qui, selon la société en question, ont fait un usage frauduleux de son service. « À compter de ce jour, nous avons pris des mesures pour bannir toutes les adresses connues par notre équipe comme étant liées aux auteurs du ransomware WannaCry, ce, conformément à nos termes de service », a déclaré un porte-parole de ladite société.

« De plus, nous nous engageons à collaborer avec les forces de l’ordre impliquées dans ce cas et les assisterons dans leurs moindres requêtes pour appréhender les auteurs de ces actes », a-t-il conclu.

Difficile cependant de dire quelle est la direction que les bitcoins restants ont prise. Le fait que les cybercriminels aient procédé en plusieurs retraits suggère néanmoins qu’ils ont fait usage d'autres services de change pour positionner leurs avoirs sur un réseau plus sûr pour eux.

Source : bot_Twitter, Forbes

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi et cible les services de ressources humaines
Karmen : un ransomware-as-a-service qui permet à tout amateur de mener des attaques de ransomware contre la modique somme de 175 dollars
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 09/08/2017 à 13:16
Si je comprends bien, les BitCoins deviennent l'arme absolue pour le blanchiment d'argent ?
Avatar de Afaure Afaure - Futur Membre du Club https://www.developpez.com
le 12/08/2017 à 0:59
Oui , les bitcoins sont de plus en plus utilisés .(darknet , ransomware ..l)
Avatar de gadj0dil0 gadj0dil0 - Membre du Club https://www.developpez.com
le 15/08/2017 à 22:40
'On' parle beaucoup de ça en ce moment mais je trouve ça complètement imbitable. Certains article du site blogchaincafe.com sont très technique comme Ethereum vs. Bitcoin: les différences donc je comprend encore moins. J'ai réussi à comprendre qu'il y a un 'capital', plafond de 40M pour Bitcoin et 20 pour Ether .
Effectivement ça à l'air d'être pas mal pour blanchir de l'argent. Bon j'ai pas fait de recherche sur la toile masi comment ils font pour encaisser l'argent ou acheter la crypto. Il faut une banque compatible?
Offres d'emploi IT
Développeur php symfony talentueux
KMS Invest - Ile de France - Paris (75000)
Consultant Technico Fonctionnel Junior SAP H/F
Atos Technology Services - Rhône Alpes - Lyon
Margoconseil recrute! [Développeur / MOA / Cloud Engineer...]
Margoconseil - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil