WannaCry : la Russie particulièrement touchée ?

Sécurité : L’éditeur MalwareBytes a publié ses chiffres sur la vague d’infections liées au ransomware WannaCry. Et révèle que la Russie est le pays le plus touché par l’attaque, avec la France en quatrième position. Une répartition géographique assez peu commune pour un malware.

Les premiers chiffres partiels de l’infection WannaCry commencent à être diffusés par les éditeurs de sécurité. En début de semaine, Kaspersky avait déjà publié une première estimation qui montrait que la majorité des machines ayant été victimes de l’infection fonctionnaient sous Windows 7 x64. Les nouveaux chiffres publiés par l’éditeur Malwarebytes viennent mettre ne avant la répartition géographique des victimes de la campagne, et la Russie semble avoir été le pays le plus durement touché par la campagne de ransomware.

Au total, MalwareBytes estime que le nombre d’infections directement causé par la campagne WannaCry s’élève à un peu plus de 300.000 machines. Des chiffres qui sont cohérents avec les premières estimations avancées par des sociétés telles que Kaspersky et des chercheurs indépendants, mais ces données restent une simple estimation et ne rendent pas compte de la totalité de l’attaque.

WannaCry : la Russie particulièrement touchée ? - 2017 - 2018

La répartition géographique a néanmoins de quoi surprendre. La Russie est en effet le pays le plus touché par l’attaque, suivi de près par les États unis, puis le Canada. En quatrième position vient la France, puis l’Ukraine en cinquième position.

La Russie en première position… parmi les victimes

Et c’est intéressant, car la Russie est rarement en tête de peloton dans les décomptes de victimes d’attaques informatiques. Et pour cause, de nombreux concepteurs de malwares sont originaires des pays de l’Est et incluent fréquemment dans leurs logiciels malveillants des paramètres visant à détecter l’origine de la machine. Si le malware détecte qu’il infecte une machine basée en Russie ou dans plusieurs pays de l’Est, il ne s’exécute pas. Cette fonctionnalité n’est pas standard, mais elle est très répandue : sur certaines places de marché illégales, ce garde-fou est ainsi devenu obligatoire pour pouvoir mettre en vente ses modèles de malware.

Ce qui laisse entendre que WannaCry pourrait avoir une origine bien différente. Certaines sociétés américaines de cybersécurité expliquent avoir notamment retrouvé des indicateurs de compromission similaires à ceux liés au groupe Lazarus, qui est notamment responsable de l’attaque sur Sony Pictures . La Corée du Nord nie tout lien avec l’affaire, et les éléments sont comme toujours bien maigres pour pouvoir affirmer une attribution fiable et sure.

Mais il est tout à fait possible que le groupe Lazarus ait choisi de mener la campagne de son propre chef. On peut également rappeler que les indicateurs de compromissions trouvés ne prouvent rien en eux même, si ce n’est que certaines adresses IP et hashs sont communs aux deux attaques. Mais les cybercriminels partagent ou louent assez fréquemment leurs infrastructures, ce qui peut contribuer à brouiller les pistes. Pour l’instant, difficile donc de donner l’origine supposée des cybercriminels à l’origine de cette attaque.

  • A lire :

Rançongiciel et ransomware : comprendre WannaCrypt 

WannaCry : la Russie particulièrement touchée ?

Source : L’article WannaCry : la Russie particulièrement touchée ? >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

WannaCry : la Russie particulièrement touchée ? - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-05-24T12:28:00+00:00

Laisser un commentaire