De Wanna Cry Ransomware Cyberattack

Une cyberattaque en juin a visé les compagnies aériennes, les banques et les services publics en Europe. En mai dernier, des portions du système britannique du NHS ont été bloquées et paralysées grâce à des rançongiciels. Que vous l'appeliez WannaCrypt, WCry, ou même WannaCry, ce ransomware a également attaqué les guichets automatiques et les gares, et a fait des ravages dans le monde entier.

Lorsqu'un rançongiciel heurte un ordinateur ou un réseau, il verrouille les fichiers qui deviennent inaccessibles.

L'ordinateur informera alors l'utilisateur que pour utiliser à nouveau l'ordinateur, il doit payer une rançon pour une cyber-clé. Généralement, ces frais sont demandés en bitcoins, car ils ne peuvent pas être tracés.

Une cyberattaque commence souvent lorsqu'une personne est attirée par un lien dans un e-mail, qui télécharge un logiciel malveillant sur l'ordinateur. Les pirates sont très habiles à inciter les victimes à cliquer sur ces liens, et dans de nombreux cas, les victimes ne se rendent même pas compte qu'elles font quelque chose de mal. Ce lien envoyé par courrier électronique peut prendre la forme de votre banque, d'une entreprise avec laquelle vous faites régulièrement affaire, ou même de quelqu'un que vous connaissez.

Ces liens ont l'air assez innocents, mais sont très dangereux, tout comme ces dernières cyberattaques majeures ont été nuisibles, aussi. En fait, en mai dernier, cette attaque de ransomware était un problème suffisamment important pour que Microsoft ait même créé un correctif pour ses utilisateurs sur Windows XP, quelque chose qu'ils n'ont pas fait depuis plusieurs années parce que ce système d'exploitation est obsolète.

Comment un seul malware peut-il causer un tel mal de tête?

Comprendre ce logiciel malveillant particulier

Pour arriver à la réponse à cette question, il est important de comprendre ce qu'est le malware WannaCry. Ce malware a la capacité de rechercher, puis crypter, un total de 176 types de fichiers différents.

Il demande ensuite une rançon bitcoin de 300 $. Si vous ne payez pas ces 300 $, le message de la rançon indique que le paiement sera doublé tous les trois jours. Si, après sept jours, le paiement de la rançon n'est pas effectué, le fichier est supprimé.

Devriez-vous payer la rançon?

L'une des questions les plus fréquemment posées par les gens lorsqu'ils deviennent victimes d'attaques de logiciels malveillants est de savoir s'ils devraient payer la rançon ou s'il existe un moyen de déchiffrer les fichiers. Heureusement, le décryptage de ces fichiers peut être possible (voir ce lien ici: "wannacry decryptor"). Et les chercheurs travaillent toujours sur de nouveaux décrypteurs. Il est préférable de sauvegarder au préalable tous vos fichiers, ce qui signifie que vous pouvez les restaurer. Il est préférable de ne pas payer la rançon si possible.

Dans certains cas, des fichiers peuvent être récupérés même si vous n'avez pas de sauvegarde, mais les fichiers enregistrés sur un lecteur amovible, sur le Bureau ou dans Mes documents ne sont pas récupérables. Ceux qui pourraient être récupérables pourraient être récupérés avec un outil de restauration.

Comment Ransomware a-t-il affecté les États-Unis?

En mai dernier, ce programme malveillant a touché le Royaume-Uni et s'est rendu aux États-Unis. Cependant, un chercheur britannique, connu sous le nom de «MalwareTech», a pu l'arrêter temporairement pendant ses vacances. Cependant, cela pose problème car il montre que l'industrie mondiale de la sécurité de l'information est dispersée et que le recours à une seule personne est très insuffisant.

MalwareTech a remarqué que le nom de domaine vers lequel le programme malveillant était dirigé n'existait pas. Si cela avait été actif, le programme malveillant aurait cru que c'était un faux positif d'avoir son code désassemblé. Pour arrêter cela, WannaCrypt a conçu le malware pour se fermer. Alors qu'est-ce que cela dit à propos de nos niveaux de cyber-préparation mondiale?

Tout d'abord, cela montre que notre industrie de la sécurité informatique considère les cyberattaques davantage comme une opportunité commerciale que comme un moyen de travailler ensemble pour éliminer toute menace. Bien qu'il y ait certainement des pros qui ne le font pas, comme MalwareTech, les événements entourant l'incident du logiciel malveillant au Royaume-Uni montrent que, en tant qu'industrie, une plus grande collectivité est nécessaire. Nous ne pouvons pas compter sur le codage paresseux dans la prochaine cyberattaque.

Deuxièmement, nous devons nous demander si WannaCrypt était un simple test de préparation.

Il est possible que la facilité d'arrêter l'attaque n'était pas du tout un acte de paresse, mais un acte pour voir combien de temps il faudrait pour arrêter le programme.

Il est également possible que ceux qui ont développé ce malware l'aient fait afin de recueillir des informations sur les systèmes qui pourraient être affectés par ce malware, tels que les systèmes Windows XP. Rappelez-vous, ce système d'exploitation n'est plus supporté par Microsoft.

Il y a aussi la possibilité que WannaCrypt ait l'intention de montrer que les gouvernements cataloguent des vulnérabilités dans les logiciels qu'ils utilisent, mais ne partagent pas ces informations avec les développeurs. Cela pourrait montrer ce qui pourrait arriver si ces failles étaient utilisées par les mauvaises personnes.

WannaCrypt a depuis généré de nombreux débats sur les cyberattaques parrainées par l'État. L'inclusion de portes dérobées dans les applications ou les systèmes d'exploitation mandatés par le gouvernement est extrêmement dangereuse et définitivement erronée. Cependant, si nous avons appris quelque chose de l'élection de 2016, c'est que nous vivons maintenant dans un monde où nous avons besoin de capacités à la fois offensives et défensives.

Nous ne pouvons pas non plus nier que nous devrions nous attendre à plus de la part de géants du logiciel tels que Microsoft. Nous vivons à une époque où le big data est roi et où le logiciel est suivi. Avec des vulnérabilités logicielles, il pourrait littéralement arrêter le monde sur ses pieds.

Lorsque nous avons des systèmes critiques qui reposent sur des logiciels à risque, il est raisonnable de penser que les développeurs de logiciels informeraient ceux qui sont à risque. Ils devraient aussi rapidement obtenir un patch. Les courriels à long terme et les notifications ne sont pas suffisants parce que de nombreux clients ne se rendent pas compte qu'ils ont un système vulnérable et qu'ils ne bénéficient pas d'un support général.

Microsoft a cessé de supporter son système d'exploitation Windows XP il y a plus de trois ans, mais les organisations à travers le monde l'utilisent encore, ce qui signifie que les groupes derrière WannaCrypt vont se perfectionner.

Si nous ne commençons pas à être plus efficaces dans nos méthodes pour combattre ces menaces, et si nous continuons à utiliser des logiciels qui ne sont pas sécurisés, il ne devrait pas être surprenant quand ces menaces frappent. Ces menaces ont un grand potentiel de causer des dommages importants, à la fois numériquement et physiquement … et la prochaine fois, nous pourrions ne pas avoir ce genre de chance.

Qui est touché par cela?

Toute personne utilisant un ordinateur Windows est vulnérable à la cyberattaque de WannaCry. Les entreprises sont plus exposées au risque car elles sont connectées aux réseaux, ce qui est plus intéressant pour les cybercriminels. Cependant, restez vigilant, car les individus sont également à risque.

L'attaque WannaCry est-elle ciblée?

Actuellement, nous ne croyons pas que l'activité WannaCry fasse partie d'une attaque ciblée.

Pourquoi WannaCry cause-t-il tant de problèmes?

WannaCry cause tellement de problèmes parce qu'elle a la capacité de se propager à travers les réseaux sans aucune interaction de l'utilisateur. Il exploite les vulnérabilités des systèmes Windows, de sorte que tout ordinateur qui n'a pas été mis à jour avec le dernier correctif de sécurité Windows Update risque de s'infecter.

Comment WannaCry se répand-il?

WannaCry peut se propager à travers un réseau en exploitant sa vulnérabilité, mais ce n'est pas la façon dont elle infecte initialement le réseau. Comment le premier ordinateur dans une organisation est infecté par WannaCry n'est pas connu. Un chercheur souligne "qu'il s'est propagé via une opération qui traque les ports SMB publics vulnérables et utilise ensuite l'exploit EternalBlue présumé de la NSA pour se rendre sur le réseau" Il y a eu quelques cas de WannaCry qui ont été trouvés hébergés sur des sites connus. sites malveillants, mais on pense que ceux-ci ne sont pas liés aux attaques originales de WannaCry. Au lieu de cela, ils sont des imitateurs.

Comment la rançon fonctionne-t-elle avec WannaCry?

Comme vous le savez, les attaquants associés à WannaCry demandent que la rançon soit payée en utilisant Bitcoins. En fait, WannaCry a généré une adresse bitcoin unique pour chaque ordinateur affecté par le fichier. Cependant, il a également été constaté qu'il existe un bogue dans le code, ce qui l'empêche de s'exécuter comme il le devrait. Cela provoque alors WannaCry par défaut à trois adresses Bitcoin pour les paiements. Cela pose toutefois problème, car les attaquants ne sont plus en mesure d'identifier correctement les victimes qui ont payé et qui ne l'ont pas fait, ce qui signifie que les victimes, même si elles ont payé, ne récupéreront probablement pas leurs fichiers.

Les attaquants de WannaCry ont réalisé tout cela, puis ont sorti une nouvelle version du logiciel malveillant qui a corrigé ce problème, mais elle n'a pas eu le même succès que la cyberattaque originale.

Plus récemment, le 18 mai, les ordinateurs infectés par ce logiciel malveillant affichaient un autre message qui indiquait aux victimes que leurs fichiers ne seraient déchiffrés que si une rançon était payée.

Que faire si vous êtes infecté

Voici quelques étapes à suivre si votre ordinateur est infecté:

• Signalez l'instance à la police. Bien qu'ils ne puissent probablement pas aider, il est toujours bon de l'enregistrer.
• Déconnectez l'ordinateur du réseau. Cela permet d'éviter que la cyberinfection ne se propage à d'autres réseaux.
• Retirez le rançongiciel de l'ordinateur. Rappelez-vous simplement, supprimer le ransomware ne vous donnera pas accès à vos fichiers, car ils sont cryptés.
• Si vous avez une sauvegarde de données (vous devriez), il n'y a aucune raison de payer la rançon. Vous voulez toujours supprimer le ransomware, même si vous avez une sauvegarde.
• Que faire si vous avez absolument besoin de fichiers importants qui n'ont pas été sauvegardés? Commencez à enregistrer vos bitcoins. Consultez ce site sur la façon d'effectuer des paiements en utilisant cette méthode.
• Rappelez-vous. Les méchants vont être impossibles à retracer, et vous devrez effectuer les paiements sur le réseau Tor, qui propose une navigation anonyme.
• Enfin, même si c'est un pari, vous ne devriez pas être choqué si vous payez et obtenez une clé de décryptage. La plupart des cyber voleurs vont suivre et vous donner le code parce qu'ils veulent être pris au sérieux. S'il est de notoriété publique que vous n'obtenez pas le code, à quoi sert-il de payer?

La meilleure chose à faire est d'empêcher une cyberattaque en premier lieu. Cela signifie que vous devriez rechercher tous les indices qui pourraient impliquer des escroqueries de phishing ou des attaques de logiciels malveillants. Ne laissez pas un courriel menaçant vous pousser à cliquer sur un mauvais lien. Assurez-vous également de sauvegarder toutes vos données en ligne et sur un disque dur externe. De cette façon, même si vous êtes victime d'une attaque de logiciels malveillants, vous n'aurez pas à payer de rançon.