L'exploit WannaCry continue de toucher de grandes entreprises

le 19 septembre 2018 à 15:20
 0
Ransomware et virus_cropped_0x0

En conservant le même fonctionnement que le ransomware WannaCry, le ver continue de faire des ravages et de miner du Monero sans le consentement des possesseurs des machines.

EternalBlue refuse ainsi de disparaître, et c'est en grande partie dû aux systèmes d'exploitation non maintenus à jour pour cause de négligence ou de licence piratée.

Une rançon pour récupérer les données


En mai 2017, l'attaque WannaCry touchait pas loin de 300 000 ordinateurs dans 150 pays. Le matériel infecté par le ransomware prenait en otages les données personnelles de l'utilisateur après que celui-ci a cliqué sur un lien contenu, par exemple, dans un e-mail.

Le virus réalisait alors un chiffrement des données et proposait de les déchiffrer en échange d'une rançon en Bitcoins. De nombreuses grandes entreprises ont ainsi été touchées : le constructeur automobile Renault, le groupe espagnol Telefonica, la Deutsche Bahn allemande ou encore plusieurs ministères russes - le pays le plus touché selon l'entreprise de sécurité Kaspersky.

Cette attaque de grande ampleur mettait en avant la nécessité de corriger les failles de Windows. En effet, les hackers qui ont mis en place WannaCry ont utilisé une faille de l'OS de Microsoft baptisée EternalBlue qui concerne tous les systèmes d'exploitation antérieurs à Windows 10 et qui était connue et utilisée depuis un bon moment par la NSA sans que l'agence de renseignement américaine n'ait communiqué sur le sujet.

La faille de sécurité EternalBlue existe encore


Un peu plus d'un an après ces attaques, WannaMine continue de se répandre. Amit Serper, responsable de la recherche sur la sécurité chez Cybereason, vient de publier les résultats de recherches sur une attaque récente contre l'un de ses clients. Le ransomware malveillant a affecté « des dizaines de contrôleurs de domaine et environ 2 000 points de terminaison » a déclaré M. Serper, après avoir eu accès à un serveur SMB non protégé.

De plus, et c'est l'un des points inquiétants de l'étude, le logiciel malveillant continue d'utiliser certains des serveurs qui lui étaient associés à l'origine. Serper a donc contacté tous les hébergeurs qu'il pouvait identifier à partir des adresses IP... mais n'a reçu aucune réponse. « Tant que les organisations n'auront pas corrigé et mis à jour leurs machines, ils continueront de voir les cybercriminels exploiter ces outils pour une raison simple : ils fonctionnent ».

Une autre raison de la ténacité d'EternalBlue est qu'elle est particulièrement efficace sur des version crackées ou piratées de Windows, comme l'explique Mikel Echevarria Lizarraga, analyste chez Avira Protection Lab :

« Nous avons découvert que beaucoup de ces machines avaient recours à des crack d'activation, ce qui signifiait qu'elles étaient dans l'impossibilité de recevoir des mises à jour de Windows et de les installer. Cela signifie également qu'elles n'ont pas reçu le patch d'urgence publié par Microsoft pour cette vulnérabilité. »


EternalBlue toujours d'actualité dans le milieu du Cryptojacking


Le problème ne touche pas uniquement la rançon de données puisque le protocole est aussi utilisé pour mettre en place des opérations de cryptojacking. Ce procédé utilise la puissance de calcul à l'insu du propriétaire de la machine pour miner des cryptomonnaies comme l'Ethereum ou le Monero. Ces scripts de minage sont généralement cachés dans des pages web traditionnels, mais la faille EternalBlue procure un nouveau moyen de minage pour les acteurs malveillants. Cette méthode avait été découverte en février dernier avec le botnet Smominru et plus d'un an après elle est toujours d'actualité selon Cybereason.

Il est désormais temps que les entreprises et les individus prennent des mesures efficaces pour se protéger et ainsi faire en sorte que la faille ne soit plus utilisée par les cybercriminels.
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Chaque semaine, l'équipe Clubic vous livre un petit résumé de la semaine en 7 actualités high tech.
22/03 | Clubic
A l'image de nombreux autres services Google, le logiciel Maps va lui aussi céder à l'appel du Material Design, avec quelques petites modifications esthétiques.
Indiescovery, c'est votre rendez-vous avec le jeu vidéo indépendant. Une chronique libre rédigée avec passion après 2h12 de jeu exactement. Si on vous en parle, c'est qu'on a aimé. Bonne découverte !
22/03 | Jeux vidéo
La multinationale, qui souffre de la concurrence d’Amazon (notamment en ligne), étudie sérieusement la possibilité de fonder son propre service de cloud gaming. Une initiative assez peu étonnante.
Proposée par la Commission de régulation de l’énergie à la fin du mois de janvier, l’augmentation des tarifs réglementés de l’électricité devrait entrer en vigueur en juin.
22/03 | Énergie
C’est confirmé : un cadre de Huawei a indiqué ce mercredi 20 mars que les TV du constructeur chinois arriveraient bien le mois prochain sur le marché.
Comme la plupart des autres opérateurs téléphoniques, Free cherche en permanence à attirer de nouveaux clients dans son escarcelle. La firme de Xavier Niel n’est donc pas avare de promotions sur ses forfaits, comme le prouvent les offres sur son forfait 50 Go ou sa Freebox Mini 4K. Mais l’opérateur ne s’arrête pas là dans son offensive, car il propose aussi très régulièrement des ventes privées. C’est d’ailleurs le cas actuellement pour le forfait 40 Go et la Freebox Révolution, qui passent respectivement à 8,99€ et 9,99€ par mois jusqu’à demain matin 8h.
22/03 | Bon plan
Le géant du streaming déploie un nouvel abonnement pour ses utilisateurs en Inde. Uniquement réservé aux mobiles et moins cher que les forfaits classiques, cet abonnement vise à rendre la plateforme >.
22/03 | Netflix
Dans le but de célébrer son premier anniversaire, PUBG Mobile a mis en ligne une toute nouvelle mise à jour qui regorge de cadeaux et autres améliorations sur les différentes maps. De quoi occuper les plus de 200 millions de joueurs à travers le monde qui plongent dans ce battle royale régulièrement.
22/03 | Jeux vidéo
Amazon teste depuis plusieurs mois l’affichage de vidéos dans les résultats de recherche sur l’application iOS...
22/03 | Amazon
Une vulnérabilité découverte par un expert en sécurité permettait à des personnes mal intentionnées d’accéder à certaines données utilisateurs depuis Google Photos.
Trois personnes ont été condamnées à de la prison ferme pour avoir diffusé en streaming et illégalement des matchs de Premier League.
Hier, la page de l’Apple Store australien dévolue aux AirPods, affichait une nouvelle photo de l’AirPower. Cette dernière mettait en scène la recharge simultanée d’un boîtier d’AirPods et d’un iPhone XS grâce au tapis de recharge par induction d’Apple annoncé en 2017.
La capitale a décidé de durcir le ton face à la multiplication des trottinettes, vélos et scooters en libre-service, qui provoquent de plus en plus d’accidents.
Les mots de passe d’entre 200 et 600 millions d’utilisateurs ont été accessibles à une grande partie des employés du réseau social. Facebook va prévenir les personnes touchées et les inviter à le modifier.
22/03 | Facebook
scroll top