9 questions pour tout savoir sur le Ransomware Wannacry

Le 16 mai 2017| Rédigé par Regis Senet| Posté dans Blog

Vendredi 12 mai 2017, un ransomware nommé Wannacry s’est mis à infecter des milliers de machines à travers cent cinquante pays dans le monde inquiétant l’ensemble des experts en Cybersécurité.

À peine quelques heures plus tard, de nombreux CERT étatique (France, Espagne, Angleterre, États-Unis, etc.) ainsi qu’Europol ont diffusé de nombreuses informations permettant de limiter au maximum la propagation de ce logiciel malveillant.

Selon Europol, cette attaque, d’un niveau sans précédent, va exiger une investigation internationale, extrêmement complexe, afin d’identifier les coupables.

Nous allons découvrir ensemble les détails de cette attaque à travers plusieurs questions :

 

  1. Qu’est-ce qu’un Ransomware ?

Un ransomware (ou un rançongiciel) est un programme malveillant provoquant le chiffrement de l’ensemble des fichiers présents sur un ordinateur. Certains de ces logiciels permettent également le chiffrement des fichiers accessibles en écriture sur les dossiers partagés ainsi que le chiffrement des bases de données grâce à l’utilisation de comptes par défaut.

Dans le cas de Wannacry, un élément supplémentaire permettant la propagation du logiciel malveillant au travers du réseau est également présent, le rendant encore plus dangereux.

En effet, comme le précise Lance Cottrell, directeur scientifique du groupe Ntrepid, contrairement aux virus classiques, Wannacry est en mesure de se répandre directement d’un ordinateur à un autre sans avoir à passer par les traditionnels emails.

 

  1. Comment fonctionne Wannacry ?

Bien que l’infection initiale ne soit pas encore totalement identifiée (patient 0 infecté par mail ou directement via la vulnérabilité affectant SMBv1), une fois la machine infectée par le ransomware, celui-ci va chiffrer grâce au protocole RSA-2048, l’ensemble des données répondant aux extensions listées ci-dessous :

  • Fichiers utilisés par Office : .ppt, .doc, .docx, .xlsx, .sxi
  • Fichiers moins connus utilisés par Office : .sxw, .odt, .hwp
  • Archives, média (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • Emails, base de données d’emails : .eml, .msg, .ost, .pst, .edb
  • Base de données : .sql, .accdb, .mdb, .dbf, .odb, .myd
  • Code source : .php, .java, .cpp, .pas, .asm
  • Clés de chiffrement et certificats : .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Fichiers graphiques : .vsd, .odg, .raw, .nef, .svg, .psd
  • Machines virtuelles : .vmx, .vmdk, .vdi

Parallèlement au chiffrement des données et pour éviter l’utilisation des fonctionnalités de Shadow Copy permettant la récupération des données, l’ensemble des points de restauration est supprimé grâce à la commande suivante :

Suppression des Shadow Copy

Une fois l’ensemble des fichiers chiffré, Wannacry utilise le réseau d’anonymat TOR pour communiquer avec son serveur de Command & Control :

Utilisation de TOR pour relayer les informations

Pour en terminer, Wannacry avertit l’utilisateur du chiffrement de ces fichiers grâce à la modification de son fond d’écran :

Modification du fond d'écran

Ce fond d’écran fait référence à l’outil « Wana Decrypt0r » permettant de donner l’ensemble des instructions pour la « récupération » des données chiffrées :

Wana Decrypt0r

Comme vous l’avez compris, d’après les pirates, le seul moyen de récupérer vos fichiers est de payer la somme de 300 dollars (cf. Que faire en cas de chiffrement de vos données ?) en Bitcoin sur différents Bitcoin Wallets.

Enfin, et afin d’infecter rapidement de nouvelles cibles, Wannacry va exploiter une faille présente au sein de la première version du protocole de partage de fichiers de Windows : SMBv1 (cf. Pourquoi une telle médiatisation ?)

 

  1. Pourquoi une telle médiatisation ?

De nos jours, les ransomwares sont devenus de plus en plus communs, mais alors pourquoi Wannacry possède une telle médiatisation ?

Comme indiqué précédemment, cette médiatisation vient de son mode de propagation ! En effet, à l’inverse des traditionnels mails, Wannacry est en mesure de se répandre au sein d’un réseau (local ou Internet) grâce à l’exploitation d’une vulnérabilité connue et patchée par Microsoft le 14 mars 2017 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) affectant le protocole de partage de fichiers dans sa version 1 : SMBv1.

Cette vulnérabilité a été divulguée il y a près d’un mois, le 14 avril 2017, par le groupe Shadow Brokers suite au piratage des outils de la NSA :

Extrait du rapport Kaspersky

Extrait du rapport de Kaspersky (https://support.kaspersky.com/shadowbrokers)

 

  1. Que faire en cas de chiffrement de vos données ?

Comme nous avons été en mesure de le découvrir précédemment (cf. Comment fonctionne Wannacry ?), le système de chiffrement des données se base sur les meilleures pratiques en termes de cryptographie (RSA-2048). À moins que des experts en reverse engineering ne découvrent une erreur de programmation, l’ensemble des fichiers chiffré ne pourra être récupéré simplement.

Bien que la perte de vos données puisse réellement vous impacter, nous vous recommandons de ne pas payer la rançon de vos fichiers. En effet, vous ne disposez d’aucune garantie de récupérer vos données.

De plus, cet argent permettra de financer les groupes de Cybercriminels dans la mise en place de nouvelles attaques. Rappelons-nous que de nombreux exploits dérobés à la NSA n’ont pas encore été exploités.

 

  1. Qui a été affecté par cette vulnérabilité ?

Après seulement deux jours (et un week-end qui plus est), Wannacry s’est déjà attaqué à 200 000 machines à travers 150 pays :

Cartographie de l'infection Wannacry

Cette vague de ransomware affecte à l’heure actuelle des centaines d’entreprises et organisations à travers le monde. En effet, après seulement deux jours, les exemples ne manquent pas :

  • Des entreprises :
    • Hôpitaux, contraints d’annuler des actes médicaux (IRM)
    • Aéroports, affichant sur les panneaux d’informations de vols l’image de WannaCry
    • Distributeurs de billets, affichant sur l’écran l’image de WannaCry
    • Des industries et services : un célèbre livreur de colis américain, un constructeur automobile (arrêt des sites de production)
    • Des ministères (en Russie)
  • Des particuliers :
    • On ne parle pas assez de madame Michu qui disposait d’un ordinateur sous Windows XP et qui a perdu ses albums photos de famille.

La France n’a pas été épargnée par Wannacry. En effet, la direction du constructeur de voiture Renault a annoncé avoir été impactée par ce ransomware les obligeant à mettre à l’arrêt des sites de production.

La croissance exponentielle du nombre d’infections durant le week-end fait redouter le pire à venir pour les jours à venir.

 

  1. Suis-je affecté par la vulnérabilité ?

Vous êtes potentiellement affectés par Wannacry si votre système d’exploitation fait partie de la liste suivante :

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows Server 2016
  • Windows XP

Bien que le correctif de sécurité existe pour Windows 10, les utilisateurs de la dernière mouture de Microsoft n’étaient pas impactés par Wannacry.

 

  1. Comment se protéger de Wannacry ?

Afin de se défendre contre Wannacry, il est possible d’interagir sur plusieurs points :

  • Ne pas payer la rançon !
  • Appliquer immédiatement l’ensemble des mises à jour (à minima celle concernant la MS17-010) pour les systèmes maintenus par Microsoft.
  • Appliquer les correctifs de sécurité d’urgence mis en place par Microsoft pour les systèmes ne disposant plus de mises à jour : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Limiter l’exposition du service de partage de fichiers sur Internet grâce à l’utilisation d’un firewall (désactivation des ports 137, 139, 445 en TCP et 137, 139 en UDP). Cette limitation d’exposition peut également être effectuée par la désactivation du service s’il n’est pas utilisé : https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
  • Segmenter vos réseaux afin de restreindre la propagation de programmes malveillants au sein de votre réseau d’entreprise. Segmenter vos réseaux afin de restreindre la propagation de programmes malveillants au sein de votre réseau d’entreprise (surtout vos réseaux d’administrations) ;
  • Garder votre antivirus à jour. En effet, l’ampleur de cette attaque a forcé les éditeurs à rapidement prendre en compte cette nouvelle menace. Certains éditeurs l’avaient d’ailleurs pris en compte dès le piratage de la NSA.

Parallèlement, nous vous recommandons également de mettre en place un système de sauvegarde. Ce dernier doit être régulièrement éprouvé (tests de PRA (Plan de Reprise d’Activités)

 

  1. Dois-je appliquer les correctifs en urgence ?

Si votre version de Windows est affectée, oui ! Cette vulnérabilité est critique et l’ampleur de son exploitation (plus de 200 000 infections durant un week-end) confirme l’importance de réagir rapidement si vous souhaitez ne pas voir l’ensemble de vos données chiffré.

 

  1. Comment BSSI peut vous accompagner ?

Dans le cadre de nos activités de R&D, nous avons créé « RANSOMWARE SIMULATOR ». Derrière ce nom très 80′ se cache une offre bien actuelle. Nous vous proposons de vous accompagner dans la mise en place d’une simulation d’infection par ransomware de votre entreprise.

L’objectif est ainsi d’aider votre entreprise à se doter d’une organisation et d’outils nécessaires à limiter la probabilité de succès d’un ransomware !

Cette simulation vous permettra :

  • De suivre les statistiques de diffusion et infection des postes cibles avec notre ransomware éducatif (entièrement développé en interne).
  • De vivre une situation de crise en observant les réactions des utilisateurs, des équipes IT, les canaux de communication et d’alertes, etc.
  • De valider la bonne application de vos procédures de sécurité (gestion des incidents, patch management, etc.).
  • D’être accompagné pour la mise en place d’un plan d’action pragmatique et adapté à votre contexte.

One thought on “9 questions pour tout savoir sur le Ransomware Wannacry

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *