Ransomware WannaCry : l'oeuvre de pirates chinois ?

L'attaque mondiale par le ransomware WannaCry a frappé plus de 150 pays dans le monde et des entreprises majeures comme Renault. Des centaines de milliers de victimes ont été recensées partout dans le monde, bien que peu aient finalement payé les quelques centaines de dollars en bitcoins réclamés par les pirates pour débloquer leurs données.

Alors que l'enquête se poursuit, la firme spécialisée dans la sécurité informatique Flashpoint a opté pour une nouvelle approche dans l'analyse de cette attaque : plutôt que le code du ransomware, elle s'est intéressée au message affiché sur les ordinateurs infectés.

Un message écrit en anglais et chinois puis traduit par Google Trad


Si la Corée du Nord pourrait être à l'origine de l'attaque WannaCry comme l'auraient prouvé les premiers indices et les premières conclusions de l'enquête, Flashpoint a apporté une nouvelle preuve. Il semblerait que le message affiché sur les ordinateurs infectés a été écrit en chinois et en anglais. Les autres versions du message auraient été tout simplement traduites par un logiciel de traduction automatique comme Google Trad.

Flashpoint a analysé la grammaire des messages et a découvert que seuls ceux écrits en chinois et anglais étaient grammaticalement corrects, ce qui laisse supposer que les pirates connaissent ces deux langues. Les indices pointent de plus en plus vers le groupe Lazarus, déjà à l'origine du piratage Sony et évoqué une première fois pour WannaCry : il travaillerait pour la Corée du Nord mais serait basé en Chine.

hacker darknet pirate


Des clés de décryptage publiées sur Internet


Selon Flashpoint, en outre, les pirates ne se seraient pas encore emparés de l'argent récolté et feraient profil bas pour éviter de se faire attraper.

Entre temps, plusieurs centaines de clés de décryptage pour le ransomware WannaCry ont été publiées sur Internet. Elles ont été postées sur Pastebin et permettent de débloquer l'ordinateur en cas d'infection. Les chercheurs en sécurité informatique qui se sont penchés sur le dossier ont confirmé leur véracité et les éditeurs devraient rapidement les utiliser pour créer des outils de déchiffrement. Vous pouvez aussi télécharger WannaWiki pour déchiffrer vos données !

Modifié le 30/05/2017 à 11h17
Commentaires