WannaCry

WannaCry est une attaque mondiale de logiciel de rançon perpétrée en 2017 contre les ordinateurs équipés d'un système d'exploitation Microsoft Windows

Attaque de logiciel de rançon WannaCry

WannaCry est une attaque mondiale de logiciel de rançon perpétrée en 2017 par le cryptover WannaCry.

Conçue pour cibler les ordinateurs équipés d'un système d'exploitation Microsoft Windows, elle a crypté les données et demandé des rançons payables en cryptomonnaie Bitcoin. L'attaque a été stoppée quelques jours après sa découverte par des correctifs d'urgence diffusés par Microsoft, et la découverture d'un 'coupe-circuit' empêchant les ordinateurs infectés de propager le logiciel malveillant. On estime que l'attaque a affecté plus de 200 000 ordinateurs dans 150 pays.

 

Chronologie de l'attaque

Le 12 mai 2017, dès le début de la journée, Adaptive Defense 360 a commencé à détecter et à bloquer de nombreuses attaques exploitant la vulnérabilité EternalBlue pour introduire le logiciel malveillant WannaCry sur des ordinateurs. Ces attaques ont touché pratiquement le monde entier.

L'attaque de logiciel de rançon a affecté certains systèmes Microsoft Windows vulnérables, en cryptant tous leurs fichiers et ceux des disques réseau connectés, et en infectant les autres systèmes Windows vulnérables dans le réseau. Le processus s'est terminé par la demande d'une rançon de 300 dollars pour le décryptage.

Puis, le démarrage le lundi suivant d'ordinateurs vulnérables mais encore non compromis a déclenché une deuxième vague d'attaques. Un grand nombre d'entreprises et d'institutions en Chine et au Japon ont été victimes de cette deuxième vague, notamment des grandes compagnies, des distributeurs de billets et des hôpitaux.

 

Fonctionnement

La puissance considérable de cette campagne d'attaques peut être mise sur le compte de l'exploitation d'une vulnérabilité Windows très répandue. Selon des documents divulgués en avril 2017, un mois avant l'attaque, l'idée de tirer parti de cette vulnérabilité est attribuée à l'agence américain NSA.

L'infection ne nécessitait pas d'intervention humaine, comme l'ouverture d'un e-mail ou le téléchargement d'un fichier depuis Internet, pour pénétrer dans un système. Cela a permis à l'attaque de se dérouler presque au même moment partout dans le monde, sans aucune intervention des utilisateurs. Il s'est donc agi d'une attaque massive sans barrières humaines.

L'infection a affecté tous les appareils Windows connectés au réseau qui n'avaient pas été correctement mis à jour. L'infection d'un seul ordinateur pouvait finir par compromettre tout le réseau d'une entreprise.

Un grand nombre de solutions de protection traditionnelles conçues pour arrêter les fichiers malveillants ne sont pas capables de bloquer les attaques tirant parti de vulnérabilités (celle-ci ou d'autres) pour pénétrer dans les ordinateurs et les réseaux. Dans le cas de WannaCry, cela a permis à la cyberattaque de se propager dans un grand nombre de pays et d'affecter un nombre considérable d'utilisateurs (principalement dans des entreprises et des organismes publics).

 

Comment vous protéger de WannaCry

Les entreprises n'ayant pas appliqué le correctif de sécurité contre la vulnérabilité exploitée par WannaCry n'ont pas toutes été victimes de l'attaque. Mais un grand nombre d'entre elles ont toutefois dû par précaution interrompre leurs activités le temps qu'une mise à jour de sécurité soit installée.

On peut conclure de cet épisode que la solution à ce type d'attaque passe par la mise en oeuvre d'une approche holistique structurellement différente de celle des produits de cybersécurité traditionnels. C'est l'approche de Panda DOME. La visibilité procurée par la suite de produits de Panda Security et ses capacités de prévention, de détection et de résolution nous ont permis de répondre immédiatement à la menace, en protégeant les ordinateurs des utilisateurs dès les premières minutes du déclenchement du logiciel malveillant.