Qu'est-ce que le ransomware WannaCry ?

WannaCry est un virus découvert en mai 2017 qui a frappé les réseaux d'entreprises utilisant Microsoft Windows dans le cadre d'une cyberattaque mondiale massive. WannaCry a exploité une faille de sécurité connue sous le nom d'EternalBlue dans une version du protocole réseau SMB (Server Message Block) de Windows pour se propager comme un ver sur les réseaux ciblés.^[1]

Bien que Microsoft ait rapidement publié un correctif pour WannaCry, toutes les organisations n'ont pas pu le déployer assez rapidement. En fait, certains clients utilisaient une version de Windows tellement dépassée que le correctif ne pouvait même pas être appliqué.^[2]

Le 11 mai 2017, des organisations d'Europe occidentale et des États-Unis se sont réveillées en apprenant qu'une souche de ransomware WannaCry se propageait rapidement en utilisant l'exploit EternalBlue pour attaquer une vulnérabilité connue du Server Message Block (SMB).^[3] WannaCry s'est fait un nom en étant la première cyberattaque dans laquelle un virus destructeur a exploité les vulnérabilités du réseau pour infecter des ordinateurs à grande échelle.

Comment fonctionnent les attaques WannaCry ?

WannaCry ransomware infecte les réseaux via l'exploit EternalBlue et cible la vulnérabilité Server Message Block dans le système d'exploitation Microsoft Windows. Le ransomware a réussi à pénétrer les anciennes versions de Windows sur lesquelles les opérateurs de réseau n'ont pas installé les mises à jour recommandées.

Une fois que WannaCry se propage et s'infiltre dans un réseau, le cybercriminel chiffre les données sur les systèmes infectés, empêchant l'accès au propriétaire légitime. Les auteurs de ces actes forcent les victimes à payer une rançon pour décrypter les données et y accéder à nouveau.

Le paiement de la rançon se fait par le biais d'une cryptomonnaie, généralement le Bitcoin.^[4]

Comment WannaCry se propage-t-il en France ?

Auparavant, les cybercriminels distribuaient des ransomware par email ou par téléchargement sur le web. Mais WannaCry a marqué le début d'une nouvelle vague de distribution de logiciels malveillants qui ont exploité les vulnérabilités du réseau pour infecter des ordinateurs à grande échelle.^[3]

WannaCry s'est répandu grâce à un exploit appelé EternalBlue, créé par l'Agence de sécurité nationale (NSA) américaine, puis volé. EternalBlue a permis aux attaquants de découvrir des ordinateurs vulnérables sur le réseau cible. WannaCry a également exploité une porte dérobée de la NSA appelée DoublePulsar pour installer WannaCry sur le réseau.

Se protéger WannaCry est bien moins difficile que de le supprimer. WannaCry a créé et distribué un ver de rançon qui a infecté plus de 250 000 systèmes dans le monde. Les organisations infectées par WannaCry n'ont guère d'autre recours que de payer la rançon ou d'effacer les systèmes infectés et de restaurer les données chiffrées à partir de sauvegardes (si elles en ont).

Heureusement, des chercheurs en sécurité, dont deux de Proofpoint - ont trouvé un nom de domaine codé dans le logiciel malveillant utilisé pour gérer les communications entre l'attaquant et les machines infectées. L'auteur de WannaCry n'avait pas réussi à enregistrer le domaine, un oubli qui a permis aux chercheurs d'enrayer sa propagation.

Parmi les vulnérabilités réseau en cause, les systèmes hérités qui ne sont pas patchés ou qui sont mal configurés sont les plus importants. Le meilleur moyen de protéger ces réseaux est d'installer les derniers correctifs, de valider votre configuration de sécurité et de tester votre infrastructure de sauvegarde pour vous assurer que vous pouvez restaurer les machines individuelles et les données de l'entreprise.

L'un des principaux enseignements tirés de la rançon de WannaCry et des cyberattaques mondiales qui y sont liées est qu'il faut faire preuve de diligence dans l'application des correctifs à vos systèmes d'exploitation. Les organisations du monde entier doivent avoir installé les derniers correctifs et disposer de sauvegardes testées et prêtes à l'emploi en cas d'attaque de ransomware.

De manière plus générale, les organisations doivent se protéger sur plusieurs fronts contre les ransomwares, et ne pas supposer que les menaces diminuent.

La meilleure stratégie de sécurité contre les ransomwares est un mélange de prévention, de détection et de récupération. Comme la majeure partie des rançons est diffusée par des courriers électroniques malveillants, les entreprises doivent investir dans des solutions qui bloquent l'envoi de courriers électroniques nuisibles.

La deuxième mesure de prévention consiste à configurer votre environnement informatique de manière à décourager l'un des modes de propagation les plus courants des ransomwares, à savoir les macros malveillantes dans les documents. La plupart des organisations peuvent empêcher les utilisateurs d'activer les macros dans les documents reçus de l'extérieur du réseau sans interrompre aucun processus d'entreprise.

Les contrôles de détection sont également utiles. Les outils de sécurité des points d'accès et des réseaux peuvent souvent empêcher les spywares de chiffrer les fichiers des utilisateurs ou de télécharger la clé de chiffrement à partir de l'infrastructure de commande et de contrôle du logiciel espion.

Enfin, une stratégie de récupération proactive peut faire des merveilles pour se protéger contre les ransomwares. Les grandes entreprises disposant de solides processus de sauvegarde peuvent souvent éviter de payer des rançons : elles peuvent simplement restaurer les données chiffrées (bien que l'utilisateur puisse perdre quelques heures de travail). En réponse, certains ransomwares tentent maintenant de chiffrer les sauvegardes en premier. Cela rend les configurations de sécurité appropriées essentielles pour l'infrastructure de sauvegarde elle-même.

[1] ZDNet. “Ce malware est devenu encore plus puissant en ajoutant le truc de WannaCry à son arsenal”
[2] Ryan Kalember (Proofpoint). “L'attaque mondiale de WannaCry Ransomware touche plus de 99 pays, les chercheurs de Proofpoint réduisent significativement son impact”
[3] Proofpoint. “Prévisions de cybersécurité pour 2018”
[4] Proofpoint. “Ransomware is Big Business”