L'exploit WannaCry continue de toucher de grandes entreprises

19 septembre 2018 à 15h20
1
Ransomware et virus_cropped_0x0

En conservant le même fonctionnement que le ransomware WannaCry, le ver continue de faire des ravages et de miner du Monero sans le consentement des possesseurs des machines.

EternalBlue refuse ainsi de disparaître, et c'est en grande partie dû aux systèmes d'exploitation non maintenus à jour pour cause de négligence ou de licence piratée.

Une rançon pour récupérer les données

En mai 2017, l'attaque WannaCry touchait pas loin de 300 000 ordinateurs dans 150 pays. Le matériel infecté par le ransomware prenait en otages les données personnelles de l'utilisateur après que celui-ci a cliqué sur un lien contenu, par exemple, dans un e-mail.

Le virus réalisait alors un chiffrement des données et proposait de les déchiffrer en échange d'une rançon en Bitcoins. De nombreuses grandes entreprises ont ainsi été touchées : le constructeur automobile Renault, le groupe espagnol Telefonica, la Deutsche Bahn allemande ou encore plusieurs ministères russes - le pays le plus touché selon l'entreprise de sécurité Kaspersky.

Cette attaque de grande ampleur mettait en avant la nécessité de corriger les failles de Windows. En effet, les hackers qui ont mis en place WannaCry ont utilisé une faille de l'OS de Microsoft baptisée EternalBlue qui concerne tous les systèmes d'exploitation antérieurs à Windows 10 et qui était connue et utilisée depuis un bon moment par la NSA sans que l'agence de renseignement américaine n'ait communiqué sur le sujet.

La faille de sécurité EternalBlue existe encore

Un peu plus d'un an après ces attaques, WannaMine continue de se répandre. Amit Serper, responsable de la recherche sur la sécurité chez Cybereason, vient de publier les résultats de recherches sur une attaque récente contre l'un de ses clients. Le ransomware malveillant a affecté « des dizaines de contrôleurs de domaine et environ 2 000 points de terminaison » a déclaré M. Serper, après avoir eu accès à un serveur SMB non protégé.

De plus, et c'est l'un des points inquiétants de l'étude, le logiciel malveillant continue d'utiliser certains des serveurs qui lui étaient associés à l'origine. Serper a donc contacté tous les hébergeurs qu'il pouvait identifier à partir des adresses IP... mais n'a reçu aucune réponse. « Tant que les organisations n'auront pas corrigé et mis à jour leurs machines, ils continueront de voir les cybercriminels exploiter ces outils pour une raison simple : ils fonctionnent ».

Une autre raison de la ténacité d'EternalBlue est qu'elle est particulièrement efficace sur des version crackées ou piratées de Windows, comme l'explique Mikel Echevarria Lizarraga, analyste chez Avira Protection Lab :

« Nous avons découvert que beaucoup de ces machines avaient recours à des crack d'activation, ce qui signifiait qu'elles étaient dans l'impossibilité de recevoir des mises à jour de Windows et de les installer. Cela signifie également qu'elles n'ont pas reçu le patch d'urgence publié par Microsoft pour cette vulnérabilité. »


EternalBlue toujours d'actualité dans le milieu du Cryptojacking

Le problème ne touche pas uniquement la rançon de données puisque le protocole est aussi utilisé pour mettre en place des opérations de cryptojacking. Ce procédé utilise la puissance de calcul à l'insu du propriétaire de la machine pour miner des cryptomonnaies comme l'Ethereum ou le Monero. Ces scripts de minage sont généralement cachés dans des pages web traditionnels, mais la faille EternalBlue procure un nouveau moyen de minage pour les acteurs malveillants. Cette méthode avait été découverte en février dernier avec le botnet Smominru et plus d'un an après elle est toujours d'actualité selon Cybereason.

Il est désormais temps que les entreprises et les individus prennent des mesures efficaces pour se protéger et ainsi faire en sorte que la faille ne soit plus utilisée par les cybercriminels.
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
1
0
Voir tous les messages sur le forum

Actualités récentes

Black Lightning : un trailer pour annoncer son retour (et ses adieux) en février sur The CW
Comparatif : quel hub USB-C choisir pour optimiser la connectique de votre PC ?
Harry Potter : HBO Max aurait commencé à travailler sur une potentielle adaptation en série
Les astronautes de l'ISS gardent un endroit de la station sale pour une expérience du CNES
Soldes : les meilleurs bons plans high-tech avant la 2ème démarque !
Test Yale Linus Smart Lock : cette serrure connectée simplifie t-elle vraiment la vie ?
Soldes Boulanger : cet écran gamer MSI est à prix cassé
L'opérateur RED by SFR relance son forfait 200 Go à 15€
L'édition collector Complete Set de Resident Evil 8 Village est affichée... à plus de 1 500 euros !
Haut de page