WannaCry : malgré un ralentissement de l'infection, la cyberattaque reste inquiétante

 |   |  827  mots
Plus discret et insidieux que WannaCry vient d'apparaître Adylkuzz, un ransomware exploitant la même faille Windows que WannaCry mais destiné à rester furtif et permettant même de créer de la monnaie virtuelle, a déclaré Christophe Badot, directeur général de Varonis, une société de cyber sécurité américaine.
"Plus discret et insidieux que WannaCry vient d'apparaître Adylkuzz, un ransomware exploitant la même faille Windows que WannaCry mais destiné à rester furtif et permettant même de créer de la monnaie virtuelle", a déclaré Christophe Badot, directeur général de Varonis, une société de cyber sécurité américaine. (Crédits : Unplash)
D'après une carte évolutive de Check Point, une entreprise de sécurité de systèmes d'information, les pays les plus infectés par le virus WannaCry sont l'Inde et les Etats-Unis. La découverte d'un nouveau virus plus performant inquiète les experts en cyber sécurité.

"Le malware WCry ne se propage plus à aussi vive allure qu'au départ." La cyberattaque du vendredi 12 mai se fait encore ressentir, malgré un ralentissement de sa propagation, suite à la réaction des entreprises qui se sont empressées de protéger leurs systèmes informatiques. D'après Europol, un total de 165.000 adresses IP étaient affectées mardi, contre 226.800 vendredi dernier, soit une baisse indéniable de 38%.

Les chercheurs de l'entreprise de sécurité de systèmes d'information Check Point  ont étudié un total de 34.300 offensives de la cyberattaque dans 97 pays. Ils ont pu constater ce ralentissement de l'impact du virus: aujourd'hui le rythme des attaques est d'une tentative toutes les trois secondes, contre une tentative par seconde en début de semaine.

"Malgré le léger ralentissement que nous constatons, WannaCry continue de se répandre encore rapidement, ciblant les entreprises à travers le monde. WannaCry est un véritable coup de semonce, qui montre bien à quel point les logiciels rançonneurs sont dangereux, et la rapidité avec laquelle ils provoquent des perturbations dans les services critiques," explique dans un communiqué de presse Maya Horowitz, la Threat Intelligence Group Manager chez Check Point, (manager de l'unité de renseignement sur les menaces du cybercrime).

D'après la carte évolutive de l'infection du logiciel malveillant WannaCry établie par l'entreprise, l'Inde est de loin le pays le plus visé avec 18.112 tentatives de cyberattaques, suivi des Etats-Unis avec 6.089 tentatives, la Russie (5.714) et la Chine (2.038). La France, elle, en subit aujourd'hui 872.

L'Asie: une cible facile pour les hackers à l'origine de WannaCry

L'Asie a été le pays le plus frappé car d'après le moteur de recherche chinois Baidu, un ordinateur sur cinq utilise encore Windows XP. La Chine était particulièrement vulnérable à cette attaque car le système informatique Windows XP, vieux de seize ans ne reçoit plus le support et donc les mises à jour Microsoft. Ainsi, quand le groupe avait rectifié la faille dans ses systèmes les plus récents en mars, les utilisateurs de Windows XP n'en avaient pas bénéficié. WannaCry a donc pu s'infiltrer dans plus de 23.000 adresses IP d'après le CERT chinois Xinuha (centre d'alerte et de réaction aux attaques informatiques).

"Les intranets de nombreuses industries et entreprises, tant dans les secteurs de la banque, de l'éducation, de l'énergie, de l'assurance que des transports ont été affectés à différents niveaux", a déclaré l'organisation Xinuha d'après Le Monde Informatique.

Quant à L'Inde, la raison est la même. Le pays a été la plus grande cible des cybercriminels car 70% de ses réseaux de distributeurs d'argent fonctionnent avec Windows XP, d'après Kislay Chaudhary, un consultant en cyber sécurité du gouvernement central indien.

Suite à cet incident, Microsoft a corrigé la faille dans les anciennes versions de Windows. Le seul moyen de se protéger contre les cyberattaques est donc de télécharger la mise à jour et de l'installer correctement.

Lire aussi: Cyberattaque mondiale: "Ce n'est pas fini", prévient le héros accidentel britannique

Suspect numéro 1 : la Corée du Nord

Après des recherches menées par l'entreprise russe Kaspersky, spécialisée en antivirus, des similitudes de codes ont été constatées entre l'attaque WannaCry et celle du groupe de hackers Lazarus qui avait eu lieu en 2007. Lazarus avait pris pour cibles des entreprises de la Corée du Sud et les autorités avaient réussi à déterminer que cette offensive provenait de la Corée du Nord. Ces pirates s'en étaient aussi pris aux studios Sony Pictures en 2014.

Le porte-parole d'Europol, Jan Op Gen Oorth a cependant rappelé à l'AFP l'incertitude de ces spéculations.

"Nous sommes ouverts pour enquêter dans toutes les directions mais nous ne spéculons pas et nous ne pouvons pas confirmer cela. Il est trop tôt pour dire quoi que ce soit, cela pourrait venir de n'importe où, de n'importe quel pays," a-t-il expliqué à l'AFP.

Adylkuzz, la nouvelle menace plus performante que WannaCry

Cette nouvelle cyberattaque, plus discrète que WannaCry serait en action depuis début mai 2017. Elle se servirait de la même faille dans le système informatique Windows pour s'infiltrer dans les données des ordinateurs.

Adylkuzz opère de façon plus invisible en créant une monnaie virtuelle dans l'ordinateur infecté avant d'envoyer cet argent à des adresses cryptées, volant les utilisateurs sans laisser de traces et sans qu'ils ne s'en aperçoivent.

"Bien que plus silencieuse et sans interface utilisateur, l'attaque d'Adylkuzz est plus rentable pour les cybercriminels. Elle transforme les utilisateurs infectés en participants involontaires au financement de leurs assaillants", explique Nicolas Godier, un expert en cyber sécurité de Proofpoint à l'AFP.

Le seul effet secondaire de ce virus est un ralentissement des performances de l'ordinateur infecté. Il est donc très difficile à diagnostiquer. Adylkuzz ferait aujourd'hui des centaines de milliers de victimes, et les sommes volées sont beaucoup plus importantes que celles de WannaCry.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 19/05/2017 à 1:53 :
Sinon, je n'ai pas trop bien compris comment un serveur infecté par un mail pouvait OUVRIR un mail. Merci de me renseigner sur ce point.
a écrit le 18/05/2017 à 20:01 :
"Microsoft a corrigé la faille dans les anciennes versions de Windows." du moins l'a rendue publique, il parait que les entreprises qui le veulent peuvent avoir une extension d'assistance (contrat) sur XP mais pas après 2019, ça ne peut durer éternellement. Le correctif était déjà disponible (pour les abonnés), ils ne l'ont pas créé en deux minutes au moment de l'annonce de l'attaque.
Il y a aussi du souci à se faire avec les objets connectés, aucun protocole de sécurité, tout est ouvert, accessible, retournable (le nounours qui devient incontrôlable (sauf à enlever les piles), le réfrigérateur qui commande 1000 pizzas, ou le congélateur éteint à distance).

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :