WannaCry

WannaCry

Szacunkowa mapa zainfekowanych krajów. Informacja
Pierwsza wersja 12 maja 2017 r.
Rodzaj Atak komputerowy

WannaCry , znany również jako WannaCrypt , WanaCrypt0r 2.0 lub podobny, to samoreplikujące się złośliwe oprogramowanie typu ransomware .

W maj 2017, jest używany w masowym globalnym cyberataku , który dotyka ponad 300 000 komputerów, w ponad 150 krajach, głównie w Indiach , Stanach Zjednoczonych i Rosji i przy użyciu przestarzałego systemu Windows XP i ogólniej wszystkie poprzednie wersje systemu Windows 10 nie działały aktualizacje zabezpieczeń, w szczególności aktualizacje 14 marca 2017 r. (biuletyn bezpieczeństwa MS17-010).

Ten cyberatak jest uważany za największy okup hakerski w historii Internetu , europejskie biuro czcionek Europol nazywa go „bezprecedensowym poziomem” i dodaje, że „w każdym razie musi być okupem”.

Wśród najważniejszych organizacji dotkniętych tym atakiem znajdują się w szczególności firmy Vodafone , FedEx , Renault , Telefónica , National Health Service , Szpital Uniwersytecki w Liège , rosyjskie Ministerstwo Spraw Wewnętrznych i Deutsche Bahn .

Szkodnik ten wykorzystuje lukę w zabezpieczeniach EternalBlue, która została wykorzystana przez NSA i skradziona przez Shadow Brokers , grupę hakerów. Ta usterka została naprawiona od miesiącamarzec 2017przez Microsoft za pośrednictwem MS17-010 w ramach wtorkowej poprawki .

O tym wirusie mówiono ponownie, atakując 23 czerwca 2017w jednej z fabryk koncernu motoryzacyjnego Honda , zlokalizowanej w Sayama w Japonii , a dzieje się to na pięć dni przed rozpoczęciem kolejnego poważnego globalnego cyberataku, NotPetya .

Atak

Kontekst

Pierwsze infekcje miały miejsce w Hiszpanii lub Wielkiej Brytanii, zanim w ciągu kilku godzin rozprzestrzeniły się na resztę świata. Pierwszej nocy przypuszczalna liczba skażeń wyniosła 100 000 systemów Windows . Wygląda na to, że pierwsze ślady wirusa sięgają poprzedniego lutego. Niektóre firmy zdecydowały się zatrzymać zanieczyszczone linie produkcyjne, próbując powstrzymać rozprzestrzenianie się.

UK National Health System (NHS) jest jedną z głównych ofiar ransomware. Zaniepokojonych jest pięćdziesiąt szpitali NHS, czyli 20% z nich. Rzeczywiście, mają dziesiątki tysięcy komputerów nadal korzystających z systemu Windows XP .

Możliwe było opóźnienie rozprzestrzeniania się wirusa poprzez zarejestrowanie określonej nazwy domeny , killswitch , co zrobił brytyjski badacz . Byłoby to zabezpieczenie zaprojektowane przez samych twórców oprogramowania. Wirus rozprzestrzenia się tak długo, jak zdefiniowana powyżej nazwa domeny nie jest zarejestrowana, ale w takim przypadku etap propagacji jest zahamowany. Chodziło o iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. To wytchnienie było krótkotrwałe, ponieważ od tego czasu wirus się przystosował. Niedługo potem rozpowszechniły się co najmniej dwie inne odmiany, z których jedna nie zawierała zabezpieczeń nazw domen. Nazwa domeny wynikająca z jednego z drugiego z tych wariantów to ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, oba mają ten sam sufiks. Kilka innych „wyłączników” zostało stopniowo zidentyfikowanych. Obejmuje również automatyczny restart w przypadku przerwania wykonywania. Podobnie, oprócz szyfrowania plików roboczych użytkownika, oprogramowanie modyfikuje woluminy systemowe, aby zakłócać działanie antywirusów, które nie aktywują się na czas.

BBC twierdzi, wirus ten jest wyrazem niezadowolenia z polityki Donalda Trumpa . Niektórzy dziennikarze mają związek z odmową Apple udostępnienia wrażliwych technik NSA podczas jednego z dochodzeń antyterrorystycznych tej ostatniej w 2015 roku.

Charakterystyka

Podobnie jak większość wirusów komputerowych , wirus ten jest przenoszony przez sieć lokalną i Internet za pośrednictwem zainfekowanych załączników wysyłanych przez dużą liczbę wiadomości e-mail za pośrednictwem botnetu . Ta teza jest kontrowersyjna, ponieważ nie znaleziono śladu tych e-maili: „Wszyscy szukają tego słynnego pierwszego e-maila i w ciągu czterech dni żaden zespół nie zdołał go zdobyć. » mówi Vincent Nguyen, menedżer Wavestone odpowiedzialny za CERT-Wavestone.

Drugą tezę stawiają badacze, którzy twierdzą, że ich honeypoty po prostu podłączone do Internetu zostały bardzo szybko skażone. Jest zatem samoreplikujący.

Wspólne dla wszystkich ransomware , po wystąpieniu skażenia wirus szyfruje wszystkie pliki na zaatakowanym komputerze i wyświetla użytkownikowi żądanie okupu.

Następnie rozprzestrzenia się, łącząc się z innymi podatnymi komputerami, całkowicie autonomicznie. System operacyjny Linux, częściowo posiadający integrację protokołu Samba , nie wydaje się być celem.

To oprogramowanie ransomware charakteryzuje się szybkością ataku, który w ciągu weekendu atakuje setki tysięcy komputerów na całym świecie. Częstotliwość ataków to co najmniej jedna próba na sekundę i 226 800  adresów IP przypisanych do jego mocnej strony. Podobnie wydaje się, że nie był on przedmiotem etapów testów, ale raczej okresu wstępnego dochodzenia. W ten sposób nie można wykluczyć śladu organizacji przestępczej ani ataku państwa (lub sponsorowanego przez państwo ). Europol twierdzi, że żaden kraj nie jest szczególnie ukierunkowany.

Żądany okup to również suma w bitcoinach o stosunkowo niskiej wartości, od 300 do 600  dolarów . Początkowo wynosi 300, a po trzech dniach wzrasta do 600, jeśli użytkownik nadal nie zapłacił, dane są usuwane po siedmiu dniach. Sprawcy polegają na dużej liczbie infekcji. Zwykle po zapłaceniu okupu klucz szyfrujący posiadany przez hakerów odblokuje komputer, ale nie ma gwarancji. Z analizowanego kodu wynika bowiem, że odszyfrowanie plików wymaga ręcznej interwencji ze strony przestępców.

Eksperci twierdzą zatem, że nawet jeśli okup zostanie zapłacony, użytkownicy mają niewielkie szanse na odszyfrowanie swoich plików i odzyskanie ich. Podobnie jak dotąd nie zauważono pomyślnego odzyskiwania plików. Ponieważ transakcje bitcoinowe są publiczne, przestępcy otrzymaliby 51,92 bitcoinów, czyli ponad 95 000  dolarów w momencie ataku. Aby pokazać wzrost tej sumy, powstał robot na Twitterze .

Reakcje i konsekwencje

Biorąc pod uwagę skalę potencjalnego wpływu na swoich klientów i ich firmy, Microsoft wyjątkowo udostępnił aktualizacje zabezpieczeń dla platform, których już nie utrzymuje, tj. Windows XP , Windows 8 i Windows Server 2003 . Firma twierdzi, że nie dotyczy to systemu Windows 10 . Brad Smith  (en) , szef firmy, wskazuje palcem na odpowiedzialność agencji wywiadowczych w tego typu sprawach i ma nadzieję, że uświadomi im to odpowiedzialność: „Ten atak stanowi nowy przykład ilustrujący problem .przechowywanie luk w rządzie” .

We Francji prokuratura w Paryżu powierzyła Centralnemu Urzędowi ds. Zwalczania Przestępczości w Zakresie Technologii Informacyjnych i Komunikacyjnych rażące śledztwo za „nieuczciwy dostęp i konserwację w automatycznych systemach przetwarzania danych”, „Utrudnianie funkcjonowania tych systemów” oraz „wymuszenia i próby wymuszenia. Nad tą sprawą pracuje również europejski urząd policji Europol . Mówi się, że ten atak spowodował szkody w wysokości dziesiątek milionów dolarów.

Internauci, którzy widzieli zainfekowanie swojego komputera, powinni zachować kopię zaszyfrowanych plików. Rzeczywiście, możliwe jest, że badacz później znajdzie sposób na ich rozszyfrowanie.

W Szwajcarii Centralne Centrum Rejestracji i Analiz Bezpieczeństwa Informacji poinformowało, że cyberatak zainfekował prawie 200 maszyn w całym kraju.

Kilka dni później drugi cyberatak na dużą skalę, Adylkuzz , uderzył w setki tysięcy komputerów; wykorzystuje te same luki w zabezpieczeniach, co WannaCry. A później27 czerwca 2017, inny cyberatak na dużą skalę, NotPetya , dotknął setki tysięcy komputerów, również wykorzystując te luki.

Dochodzenie i podejrzenie

Badania dotyczą „  pacjenta zero  ”, pierwszego zainfekowanego komputera.

Chociaż dość trudno jest wskazać źródło ataku, badacze bezpieczeństwa komputerowego poinformowali o prawdopodobnym powiązaniu z Koreą Północną . Inżynier Neel Nehta, informatyk, pracownik firmy Google , opublikował fragmenty kodu źródłowego , które wykazywały pewne podobieństwa między tym nowym wirusem a inną serią hacków przypisywanych temu azjatyckiemu krajowi. W hakerów Korei Północnej podejrzewane należą do zbiorowej Lazarus Grupy  (w) , które odnotowano w 2007 roku, jak stwierdził Kaspersky.

Inni badacze również nawiązali kontakt z chińskimi hakerami. Eksperci Flashpoint przeanalizowali wiadomości z żądaniem okupu WannaCry w 28 różnych językach. Ich wyniki pokazują, że hakerzy biegle posługują się językiem chińskim, a przekaz jest lepiej skonstruowany gramatycznie i zawiera więcej informacji. Pozostałe tłumaczenia uzyskano z wiadomości w języku angielskim (zawierającej poważny błąd gramatyczny) oraz z Tłumacza Google . Fragmenty programu wskazujące na kolektyw Lazarus Group  (en) mogły zostać wszczepione do szkodliwego oprogramowania wyłącznie w celu zatarcia śladów hakerów.

W sierpniu 2017 r. brytyjski badacz Malwaretech, który pomógł powstrzymać wirusa, został aresztowany w Las Vegas, gdzie przebywał podczas Def Con. Aresztowanie nie jest jednak związane z WannaCry, ale dotyczy innego oprogramowania do kradzieży informacji o transakcjach bankowych. To aresztowanie jest kontrowersyjne w społeczności obrońców praw w Internecie: Electronic Frontier Foundation zmobilizowała prawników do dochodzenia praw hakera i ustalenia prawdziwego powodu jego aresztowania.

Kontrola wirusów za pomocą oprogramowania

Grupa trzech francuskich ekspertów ds. bezpieczeństwa komputerowego opracowała oprogramowanie o nazwie Wanakiwi , narzędzie do odzyskiwania dostępu do zablokowanych danych. To oprogramowanie działa w systemach Windows XP , Windows Vista i Windows 7 i zostało zatwierdzone przez Europejski Urząd Policji Europol .

Podobnie jak wiele ransomware, WannaCry generuje dwa klucze do szyfrowania danych. Jedna jest publiczna, a druga prywatna . Po zainstalowaniu złośliwego oprogramowania sam klucz prywatny jest szyfrowany. Wirus wykorzystuje funkcje kryptograficzne w systemie Windows do generowania tych kluczy, ale funkcje te na krótko zapisują niezaszyfrowany klucz prywatny w pamięci RAM komputera. W ten sposób udało im się stworzyć oprogramowanie zdolne do pobierania śladów tego klucza prywatnego w celu odblokowania dostępu do plików.

Grupa wzywa do reaktywności, ponieważ „ta pamięć jest automatycznie opróżniana po siedmiu dniach”. Ponadto, aby to rozwiązanie działało, zainfekowane komputery nie mogą być ponownie uruchamiane po infekcji, ponieważ pamięć RAM jest ulotna. Wanakiwi działa w 60% przypadków na komputerach z systemem Windows XP. W systemie Windows 7 wskaźnik sukcesu jest obecnie stagnacyjny i wynosi 10%.

Zbudowano kilka narzędzi, które umożliwiają ochronę przed naruszeniem bezpieczeństwa, w tym WannaSmile, który wyłącza niektóre funkcje systemów Windows używanych przez naruszenie oraz WannaPatch, z francuskiego SysStreaming, który wykrywa, czy system jest podatny, a jeśli tak. etui, które umożliwia natychmiastowe pobranie odpowiedniej łatki.

Uwagi i referencje

  1. (en-US) „  Customer Guidance for WannaCrypt  ” , MSRC ,12 maja 2017 r.( przeczytaj online , skonsultowano 13 maja 2017 r. )
  2. „  Co wiemy o tym kolosalnym cyberataku na poziomie globalnym  ”, La Tribune ,2017( przeczytaj online , dostęp 14 maja 2017 r. )
  3. „  Juniper: Szczegóły techniczne dotyczące WannaCry  ”, InformatiqueNews.fr ,14 maja 2017 r.( przeczytaj online , dostęp 14 maja 2017 r. )
  4. „  Ransomware: Cleanup Continues After WannaCry Chaos  ”, ZDNet France ,2017( przeczytaj online , dostęp 18 maja 2017 r. )
  5. „  WannaCry: oprogramowanie ransomware gotowe do ataku na planetę  ” Computer World ,2017( przeczytaj online , skonsultowano 15 maja 2017 r. ).
  6. „  Cyberattack WannaCry: co warto wiedzieć o ransomware, które wstrząsnęło światem  ”, Futura ,2017( przeczytaj online , skonsultowano 15 maja 2017 r. ).
  7. „  WannaCry, oprogramowanie ransomware, które paraliżuje Internet  ” na stronie clubic.com (dostęp 15 maja 2017 r . ) .
  8. „  Wannacry: aktualizacja 4 dnia  ”, InformatiqueNews.fr ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. ).
  9. Arnaud "  WannaCry: Microsoft oskarża rządy po zmasowanym ataku weekendu | Plasterek42  ”, Plasterek42 ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. ).
  10. "  Check Point pokazy Globalna mapa WannaCry RansomWare Infection  " , na Global Security Mag Online (dostęp 18 maja 2017 )
  11. „  WannaCry: pomimo spowolnienia infekcji cyberatak pozostaje niepokojący  ”, La Tribune ,2017( przeczytaj online , dostęp 18 maja 2017 r. )
  12. „  WannaCry: bezprecedensowy atak ransomware  ” , w programie! (dostęp 14 maja 2017 r. )
  13. (en-GB) Chris Graham, „  Cyberatak NHS: wszystko, co musisz wiedzieć o „największej ofensywie ransomware” w historii  ” , The Telegraph ,13 maja 2017( przeczytaj online , skonsultowano 13 maja 2017 r. ).
  14. „  Cyberatak: Europol na gruncie wojny – Ameryki – RFI  ” , Rfi.fr,29 marca 2017 r.(dostęp 15 maja 2017 )
  15. „  Wannacry Ransomware  ” , na stronie europol.europa.eu (dostęp 19 maja 2017 r. )
  16. Nathalie Guibert, Damien Leloup i Philippe Bernard ( korespondent z Londynu ) , „  Potężny cyberatak blokuje komputery w dziesiątkach krajów  ”, Le Monde.fr ,13 maja 2017( ISSN  1950-6244 , przeczytane online , dostęp 13 maja 2017 )
  17. „  WannaCry: autopsy ransomware 2.0 , wzmocniony przez exploity NSA  „ Silicon ,13 maja 2017( przeczytaj online , dostęp 14 maja 2017 r. ).
  18. „  Cyberatak: dowiedz się wszystkiego o WannaCry, który zniszczył tysiące komputerów  ”, PhonAndroid ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. )
  19. "  Dlaczego oprogramowanie ransomware WannaCry wyrządza tyle szkód?"  ”, Fabryka-cyfrowe.fr ,2017( przeczytaj online , skonsultowano 15 maja 2017 r. ).
  20. „  Globalny cyberatak: jak ten 22-letni Brytyjczyk zdołał ograniczyć rozmiary szkód  ”, LCI ,2017( przeczytaj online , dostęp 14 maja 2017 r. ).
  21. (w) "  WannaCry - wykryto nowe warianty! - Comae Technologies  ” , Comae Technologies ,14 maja 2017 r.( przeczytaj online , dostęp 14 maja 2017 r. )
  22. „  Oprogramowanie ransomware WannaCry  : szpitale i operatorzy przetrzymywani jako zakładnicy, ponad 100 dotkniętych krajów  ”, Tom's Hardware ,13 maja 2017( przeczytaj online , dostęp 14 maja 2017 r. ).
  23. „  WannaCry: Dlaczego Apple ma rację odmawiając współpracy z FBI  ”, PaperGeek ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. )
  24. „  Atak cybernetyczny: czy francuskie szpitale są dobrze chronione?”  », Francjainfo ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. )
  25. RTL Newmedia , „  Masywny atak komputerowy uderza w świat: czym jest ten hak zwany WannaCry i co robi firma Microsoft, aby temu przeciwdziałać?”  ”, Informacje RTL ,2017( przeczytaj online , dostęp 14 maja 2017 r. )
  26. „  WannaCry: oprogramowanie ransomware, które nie wymaga już phishingu  ”, Silicon ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. ).
  27. (w) „  WannaCry Outbreak Data (12 maja 2017-19 maja 2017)  ” na GitHub ,26 sierpnia 2016(dostęp 27 lutego 2018 )
  28. "  Adres Bitcoin 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  " , na blockchain.info (dostęp 19 maja 2017 )
  29. "  Adres Bitcoin 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  " , na blockchain.info (dostęp 19 maja 2017 )
  30. "  Adres Bitcoin 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  " , na blockchain.info (dostęp 19 maja 2017 )
  31. "  morb (@ m0rb) | Twitter  ” na twitter.com (dostęp 15 maja 2017 r . ) .
  32. „  cyberataku: reakcja Microsoftu WannaCry | Dział IT - Aktualności  ” , na stronie www.directioninformatique.com (konsultacja 15 maja 2017 r . ) .
  33. „  WannaCry: agencje wywiadowcze na gorącym uczynku  ”, lesechos.fr ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. )
  34. „  https://lanouvelletribune.info/2017/05/wannacry-lappel-de-microsoft-agences-de-rseignement/  ” ( ArchiwumWikiwixArchive.isGoogle • Que faire? ) (Dostęp 8 lipca 2017 r. ) .
  35. „  Cyberatak – Wannacry: odwołanie Microsoftu do agencji wywiadowczych  ”, La Nouvelle Tribune ,15 maja 2017 r.( przeczytaj online , skonsultowano 15 maja 2017 r. )
  36. "  The"  rançongiciel  "Wannacry trochę dotknięty Szwajcaria  ," Czas ,15 maja 2017 r.( przeczytaj online , skonsultowano 16 maja 2017 r. ).
  37. Trwa nowy cyberatak na dużą skalę .
  38. Witryna Figaro, strona dotycząca cyberataku .
  39. „  WannaCry: Atak z Korei Północnej?”  » , Na Klubie ,16 maja 2017 r.
  40. (w) „  Eksperci Flashpoint uważają, że autorzy WannaCry mówią po chińsku po analizie językowej  ” na temat spraw bezpieczeństwa ,26 maja 2017 r.(dostęp 9 czerwca 2017 )
  41. Alfred Ng , „  Bohater WannaCry oskarżony o stworzenie wirusa bankowego  ”, ZDNet France ,4 sierpnia 2017 r.( przeczytaj online , skonsultowano 4 sierpnia 2017 r. )
  42. „  Bohater” globalnego cyberataku WannaCry aresztowany w Stanach Zjednoczonych  ” , w Le Figaro ,4 sierpnia 2017 r.
  43. „  gentilkiwi / wanakiwi: zautomatyzowane wanadecrypt z odzyskiwaniem klucza, jeśli szczęście  ” , GitHub (dostęp 20 maja 2017 r. )
  44. 01net , „  WannaCry: znaleziono obejście ... dzięki Windows Gap  ”, 01net ,19 maja 2017 r.( przeczytaj online , dostęp 19 maja 2017 r. )
  45. „  Cyberatak: trzech Francuzów stworzyło oprogramowanie anty-WannaCry  ”, leparisien.fr ,19 maja 2017 r.( przeczytaj online , dostęp 19 maja 2017 r. )
  46. indrajeetb , „  Proste narzędzie do ochrony przed WannaCry Ransomware  ” (dostęp 22 maja 2017 r. )
  47. SysStreaming , „  Bardzo proste i bezpłatne narzędzie do wykrywania usterki WannaCry / WannaPatch i łatania systemów, jeśli usterka zostanie wykryta  ” ( ArchiwumWikiwixArchive.isGoogle • Que faire? ) (Dostęp 22 maja 2017 r. )

Zobacz również

Linki zewnętrzne

Powiązane artykuły