WannaCry, Adylkuzz – Décryptage de ces cyber attaques

WannaCry, Adylkuzz :  des cyber attaques dont tous les médias parlent. Décryptage du mode opératoire de ces logiciels malveillants (malware).

Après, ou plutôt, avant WannaCry, c’est au tour du malware Adylkuzz de prendre le devant de la scène

5 jours après la découverte de WannaCry les experts identifient un second malware, Adylkuzz, plus furtif, qui serait en activité depuis plus longtemps que WannaCry et dont les méfaits pourraient se révéler plus conséquents.

Une nouvelle cyber attaque de grande ampleur liée à WannaCry toucherait actuellement des centaines de milliers d’ordinateurs dans le monde dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs.

En effet, cette nouvelle vague de cyber attaques utiliserait elle aussi les outils de piratage de la NSA divulgués par le groupe de pirates « Shadow Brokers ». Ce nouveau logiciel malveillant s’introduirait dans des systèmes vulnérables via la même faille de Windows exploités par WannaCry. A la différence de ce dernier, Adylkuzz crée de manière invisible des unités d’une monnaie virtuelle intraçable appelée Monero, comparable au Bitcoin. Les données qui permettent d’utiliser ces gains sont extraites et envoyées à des adresses cryptées sans autres symptômes qu’un ralentissement des performances de l’ordinateur.

Cette attaque serait cependant antérieure à la vague de cyber attaques WannaCry puisque les experts indiquent qu’elle pourrait remonter au 2 mai, voire même au 24 avril et serait toujours en cours, avec plusieurs milliers de dollars récupérés à l’insu de leurs utilisateurs.

Encore une fois, si des attaques de ce type ne sont pas rares, c’est l’ampleur de cette attaque qui surprend et met nos organismes face à leur manque d’hygiène informatique.

Le bulletin d’alerte du CERT-FR qui décrit les risques, les vecteurs d’infection et les systèmes affectés et préconise des mesures de contournement provisoires ainsi que les mesures correctives. Aussi, l’ANSSI met à votre disposition un guide d’« Hygiène informatique », mis à jour en janvier 2017, qui présente les mesures essentielles pour assurer la sécurité de votre système d’information et les moyens de les mettre en œuvre.

Rappel du contexte WannaCry

Le logiciel malveillant (malware), ou plus précisément le rançongiciel (ransomware) WannaCry, également connu sous les noms Wcry, WanaCry, WanaCrypt, Wanna Decryptor ou WanaCrypt0r 2.0, aurait déjà fait plus de 200.000 victimes depuis le début de l’attaque lancée vendredi dernier. Le monde professionnel de plus de 150 pays a été pris pour cible par cette attaque sans précédent selon le directeur d’Europol, Rob Wainwright.

Samedi, lendemain du début de cette attaque, le constructeur automobile Renault a fait savoir qu’il faisait partie des entreprises victimes. Au-delà du coût des rançons demandées, Renault a subi un fort préjudice financier compte tenu de l’arrêt de son activité.

Grâce à la négligence des victimes, les pirates informatiques ont réalisé une cyber attaque coordonnée dans le monde sans précédent. En effet, WannaCry était connu du grand public – ce n’était pas une attaque 0-day (utilisant une faille inconnue).

Aujourd’hui de nombreux systèmes ne sont malheureusement pas mis à jour ce qui permet encore la propagation de ce ver dont l’action est temporairement stoppée.

Décryptage du mode opératoire du rançongiciel (ransomware) WannaCry

Cette attaque allie deux vecteurs jusqu’alors indépendants et non conjugués : un rançongiciel (ransomware) et un ver qui a permis une contagion rapide.

Le ransomware (rançongiciel) est un logiciel malveillant qui classiquement demande à un utilisateur de cliquer sur le lien malicieux d’un email avant d’infecter l’ordinateur en chiffrant toutes les données.

La technique du ver s’auto propage en utilisant une faille d’un système, en « sautant » d’un système à l’autre ».

Cette attaque exploite une faille dans les systèmes Windows et verrouille les fichiers des utilisateurs pour les forcer à payer entre 300 et 600 dollars. De plus la rançon est demandée en monnaie virtuelle bitcoin, ce qui la rend difficile à tracer.

WannaCry est une cyber attaque d’une ampleur sans précédent, notamment pour des malwares de ce genre qui sont habituellement utilisés sur des cibles restreintes.

Origine du Ransomware WannaCry – qui n’est pas une Attaque 0-day

Wannacry n’est pas une attaque 0-Day car la faille utilisée était connue du grand public.

Cette faille était utilisée par l’Agence de Sécurité Américaine NSA (National Security Agency) dans le cadre de son programme d’espionnage. Il était alors question, à cette période, d’une attaque de type 0-Day puisque la NSA avait volontairement choisi de ne pas révéler l’existence de cette vulnérabilité à Microsoft afin de l’utiliser pour ses propres activités de renseignement et de piratage.

La preuve de l’utilisation de cette faille à des fins d’espionnage a été divulguée par le groupe de pirates « Shadow Brokers ». Ces derniers l’avaient en effet découverte dans des documents piratés appartenant à la NSA.

Elle s’appuie sur un « exploit » appelé Eternalblue, qui est un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système d’exploitation ou un logiciel.  Eternalblue est basé sur la vulnérabilité du serveur SMB sur les systèmes Windows et Windows Server, découverte par la NSA et rendu public par le groupe de pirates « Shadow Brokers » le 14 avril 2017.

Cet exploit avait été corrigé par Microsoft un mois auparavant, pour la version récente de l’os, et communiqué dans le bulletin Microsoft MS-17-010 datant du 14 mars 2017.

La faille exploitée illustre la négligence de tout un écosystème qui n’a pas appliqué le correctif à temps.

Au cœur des Cyber Attaques la faille technique, organisationnelle et humaine

Les leçons des précédentes attaques liées à des logiciels malveillants (malwares) similaires (les vers Conflicker ou encore Slammer) ne semblent pas avoir été tirées. En effet nous retrouvons les mêmes scénarios d’attaques d’un ver exploitant une vulnérabilité distante pour se diffuser automatiquement d’un PC à un autre au sein d’un réseau. Ces deux attaques utilisaient également des failles identifiées et corrigées par l’éditeur 1 à 3 mois auparavant, mais dont les correctifs n’ont pas été installés par les personnes en charge de l’IT.

Les logiciels malveillants (malwares) sont maintenant développés avec une architecture modulaire permettant de choisir la charge virale (« payload ») et le vecteur d’infection ce qui permet de construire un malware nouveau très rapidement.

La diffusion massive met en évidence toute la difficulté d’application des correctifs et de la gestion de l’obsolescence des parcs informatiques, notamment dans des environnements industriels où toute interruption des chaines de production est pénalisante pour l’entreprise.

Le rôle de l’état et des régulateurs

GDPR, LPM, etc. sont autant de règlementations qui doivent permettre aux responsables informatiques de renforcer le niveau de la sécurité. Elles permettent notamment de renforcer les solutions techniques pour réduire l’impact de ce type d’attaque. Nous pouvons prendre l’exemple des solutions de gestion des comptes à privilèges qui auraient permis de limiter la propagation d’une attaque de type WannaCry. Ces solutions permettent de renforcer le niveau de protection des « endpoint » (poste de travail). Notamment grâce à la maîtrise des comptes d’administration et des applications autorisées à s’installer ou s’exécuter sur le poste, mais aussi grâce à la maîtrise des demandes d’élévation de privilèges et la gestion des correctifs logiciels (Patch management). La compromission d’un compte géré par une solution de gestion des comptes à privilèges n’aurait qu’une incidence limitée (pas de possibilité de rebondir vers d’autres machines) en raison de la sécurisation des comptes de domaine par une solution PAM en place (rotation des mots de passe et contrôle du pattern des programmes autorisés à solliciter des comptes). De même, suite à une attaque, le retour en situation normale avec une solution PAM est très rapide en raison de la génération de nouveaux mots de passe de manière totalement transparente pour les utilisateurs (hackers compris).

Les acteurs de la confiance numérique face à l’attaque 

Grâce à la coordination des acteurs de la confiance numérique la propagation est en chute libre.

Depuis mars dernier Microsoft avait publié un communiqué pour mettre à jour la dernière version de Windows10, corrigeant la faille et permettant ainsi de protéger les systèmes supportés par Windows10 contre cette attaque. Cependant, les correctifs pour les versions antérieures n’étaient pas encore disponibles. C’est une fois la campagne malveillante lancée que Microsoft a rapidement réagi et fourni des patchs de sécurité pour les systèmes qui ne sont plus maintenus comme Windows XP ou Windows server 2003.

L’action d’un jeune chercheur de 22 ans en cyber sécurité « WhiteHat » a permis de stopper la propagation du malware. Comment ?  Il s’est rendu compte que le ver/ransomware vérifiait l’existence d’un nom de domaine avant de se propager.  La réussite de WannaCry reposait sur l’échec d’une requête envoyée vers le nom de domaine. Le jeune chercheur a mis fin à la propagation du ransomware, en achetant le nom de domaine en question. Cependant cette solution n’est que temporaire : la nouvelle version du ver doit d’ores et déjà être en préparation.

La vague d’ampleur médiatique sans précédents soulève la question de la réactivité et de la gestion de ce genre crise et de la vulnérabilité des systèmes – Comme pour les attentats, la coordination entre médias et institutions œuvrant à la sécurité nationale est centrale.

La principale faille utilisée par les hackers dans le cadre de cette attaque WannaCry étant une faille de négligence, nous ne pouvons que remercier la presse pour la visibilité donnée à l’ensemble des acteurs de la confiance numérique, permettant une campagne de sensibilisation sans précédent.

Un des messages important à retenir : tenir à jour ses logiciels est déjà une bonne pratique pour se prémunir contre les cyberattaques.  Nous rappelons qu’une nouvelle version de ce ver pourrait émerger et l’on peut s’attendre à ce qu’il fasse de nouvelles victimes. De plus, le groupe Shadow Brokers a annoncé l’ouverture d’une boutique en ligne pour vendre le reste des exploits volés à la NSA et qu’il est donc à prévoir de nouvelles diffusions massives de logiciels malveillants.

Article réalisé par Martial Le Guedard, rédacteur Harmonie technologie.

L’expertise au centre de notre stratégie de croissance