Une attaque de grande ampleur a eu lieu ce week-end.
Elle a débuté dans la nuit de jeudi à vendredi et ses effets se font encore ressentir après 3 jours très intenses.
Des services névralgiques ont été touchés. Ainsi le système de santé anglais, le NHS, a rapporté que de nombreux hôpitaux et services de santé n’ont pas fonctionné pendant une grande partie du week-end, affectant directement les patients, sans savoir aujourd’hui si les dossiers médicaux chiffrés pourront être restaurés.
Des usines françaises du constructeur Renault ont été mises à l’arrêt à cause du virus.
La ‘SNCF’ allemande, la Deutsche Bahn a également été piratée.
En Espagne, Telefonica, l’un des plus gros opérateurs téléphonique espagnol a été infecté.
Aux États-Unis, le géant de la livraison FEDEX a été bloqué pendant plusieurs heures.
En Russie, la banque centrale russe a annoncé avoir été piratée, etc.
On compte une centaine de pays touchés par l’attaque. A ce jour, il est fort probable que d’autres structures aient été touchées ou le seront.

Carte d’infection de WannaCry

Les ordinateurs touchés ont été infectés par un virus de type « ransomware » (nommé WannaCry / WanaCrypt, WCry, etc.), un programme malicieux qui chiffre les données de la machine et en bloque l’accès. Les cybercriminels demandent alors une rançon en échange du déchiffrement de la machine.
Cette technique existe déjà depuis plusieurs années, la différence sur cette nouvelle version, est l’utilisation, en plus, d’une faille du protocole Microsoft SMB (MS17-010), nommée EternalBlue, révélée publiquement par un groupe de hackers nommé ShadowBrokers (en référence à un personnage du jeu vidéo ‘Mass Effect’). Une fois une machine infectée, le virus analyse tous les réseaux intranet, extranet disponibles, pour tenter de se répliquer en utilisant cette faille de sécurité.
Le vecteur d’infection initial était un e-mail contenant une pièce jointe malveillante.
Le programme malveillant ensuite exécuté peut être vu comme constitué de deux parties :
– un composant chargé de la propagation via le réseau en exploitant la vulnérabilité SMB ;
– un rançongiciel.

La pièce jointe a pu prendre des formes variées de façon à passer outre les défenses classiques :
– un fichier .pdf contenant un fichier Office (doc, docx, xls, xlsx, etc.) exécutant un code VB,
– un fichier de la Office (doc, docx, xls, xlsx, etc.) exécutant un code VB,
– un fichier .js ou .svg qui masque un fichier .doc ou .docx exécutant un code VB.

Cette faille était utilisée par la NSA pour se connecter illicitement sur des serveurs Windows (faille probablement vendue à la NSA par le groupe de hackers), mais Microsoft l’a corrigée dans le Windows Update de mars 2017, pour les systèmes d’exploitation maintenus par l’éditeur, ce qui n’est plus le cas de Windows XP, Windows 2003, etc.
Il est donc ensuite possible de l’utiliser facilement avec ces systèmes.
Pour les autres systèmes, il faut également insister sur la nécessité de maintenir une politique de sécurité et de mise à jour rigoureuse afin d’éviter d’être victime de ce type d’attaques.
Microsoft a déployé, suite à l’ampleur de l’attaque, un patch pour les systèmes Windows XP, 2003 etc. mais malheureusement trop tardivement.

Nous avons observé une recrudescence des attaques au cours du week-end, principalement des scans d’adresse IP, les machines infectées cherchant à infecter d’autres machines Windows.

Les équipes d’Icodia ont procédé tout au long du week-end à une surveillance des serveurs de nos clients.

Notre système de filtrage, IcoCerberus.Mel , a protégé les utilisateurs de nos services de messagerie en filtrant efficacement les messages contenant les pièces jointes malveillantes.
Notre solution, labellisée France Cybersecurity et dévellopée par notre pôle R&D utilise des technologies d’intelligence artificielle (hypercube OLAP….). Elle apprend seule et crée de nouvelles empreintes et signatures en identifiants les comportements douteux.

Courbe de recrudescence des e-mails reçus par la plateforme Icodia sur 20 minutes

Nos systèmes de supervision ont enregistré un nombre d’attaques DDoS inhabituel, en plus de nombreux scans d’adresse IP, depuis le début de la propagation du virus. Notre VAC, développé en interne, a parfaitement fait son travail de filtrage pour maintenir la plateforme accessible et saine.

Il n’est pas à exclure que plusieurs répliques de ce genre d’attaques apparaissent dans les jours et les semaines qui viennent, il faut donc rester vigilant :
– ne pas ouvrir de pièce jointe d’expéditeur inconnus ;
– ne pas ouvrir de pièce jointe semblant inhabituelle d’un expéditeur connu ;
– travailler sur un système d’exploitation récent et mise à jour, etc. ;
– ne pas hésiter à contacter les services informatiques de la structure ou l’opérateur en cas de doute.

Vous trouverez plus d’informations sur les procédures de maintenance et les détails de l’attaque sur le site de l’ANSSI.

[Mise à jour du 18 mai 2017]

Suite à l’exploitation massive de la faille Windows SMB MS17-010, des chercheurs en cybersécurité ont découvert un autre ver plus discret, Adylkuzz.
Son principe d’infection est exactement le même que WannaCry : envoi d’un e-mail piégé, puis infection des autres machines du réseau via le protocole SMB.

La différence est sur son fonctionnement final : quand WannaCry chiffre les fichiers pour demander une rançon financière, Adylkuzz enrôle la machine pour faire du datamining.
Le datamining consiste à utiliser la puissance de calcul d’une machine pour hasher de la monnaie virtuelle, notamment pour le Monero.
Créé en 2014, Monero – code XMR – est une variante du Bitcoin, de plus en plus utilisé sur le ‘black market’.
La machine infectée devient alors très lente car elle calcule en permanence (datamining), et permet aux pirates de gagner des sommes d’argent importantes.
On ne connaît pas exactement l’ampleur de l’attaque ni son début, du fait de sa discrétion. Il est quasi sûr qu’elle a commencée assez discrètement, courant 2016 (donc avant WannaCry), d’après les premières analyses de code de notre laboratoire de recherche en cybersécurité.
Il est probable que l’ampleur d’AdylKuzz soit plus importante que WannaCry (car plus discrète), même s’il est difficile de quantifier les machines infectées.

Encore une fois, le meilleur moyen de se prémunir de ce genre d’attaque est de maintenir les systèmes scrupuleusement à jour.