WannaCry : plutôt 14 millions de machines affectés ?

Sécurité : Kryptos Logic revient sur le volume global d’infection liée à la campagne WannaCry. Les chiffres avancés par cette entreprise de sécurité méritent l’attention : ce sont eux qui ont saisi le nom de domaine utilisé par les malfaiteurs pour en faire un killswitch.

La popularité de WannaCry a suscité de nombreuses réactions de la part des entreprises de cybersécurité, chacune y allant de son analyse ou de son commentaire. Mais celle que l’on attendait en particulier était celle de la société Kryptos Logic.

 

En effet, cette entreprise de sécurité compte parmi ses rangs le chercheur connu sous le pseudonyme de MalwareTech. Ce dernier a eu son quart d’heure de célébrité après avoir découvert la mention d’un nom de domaine au sein du code source de Wannacry. Le nom de domaine en question étant vacant, il s’est donc empressé de l’enregistrer à son nom et a découvert au passage que celui-ci était utilisé comme killswitch par les concepteurs du malware.

Concrètement, lors d’une nouvelle infection par WannaCry, la charge utile du virus procède à plusieurs étapes : si une connexion internet est détectée, le logiciel malveillant tente de contacter le nom de domaine en question. Si celui-ci est inactif, Wannacry poursuit son infection et chiffre les fichiers de la machine, avant de tenter de se propager vers d’autres machines. Mais si le nom de domaine est actif et lui répond, alors WannaCry se met en veille et ne chiffre rien. Il retentera par la suite de se connecter au nom de domaine toutes les 24 heures, ou à chaque redémarrage de la machine afin de vérifier l’état du nom de domaine en question.

La saisie fort opportune de ce nom de domaine par les employés de Kryptos Logic a permis de freiner la propagation du logiciel malveillant pendant quelques jours, le temps que les cybercriminels parviennent à développer une nouvelle version du logiciel utilisant un nouveau système pour le nom de domaine. Outre ce tour de force, prendre la main sur le nom de domaine offre également à Kryptos Logic un point de vue tout à fait inédit sur l’activité du ransomware et le nombre d’infections.

En effet, chaque machine infectée contactera nécessairement le nom de domaine, ce qui permet à Kryptos Logic d’avoir une estimation relativement précise de l’ampleur des dégâts. Dans un long post de blog publié sur le site de la société, les ingénieurs de Kryptos Logic reviennent en détail sur les chiffres du malware ainsi que sur les découvertes récentes liées à la campagne de malware. Et corrigent au passage certaines approximations.

La Chine détrône la Russie

Ainsi, on avait dans un premier temps cru que la Russie avait été le premier pays touché par l’épidémie de ranswomare (ou ransomworm, au vu du mode de propagation de ce malware). Si la Russie fait bien partie du trio de tête des pays les plus sévèrement touchés par la diffusion du logiciel malveillant, c’est en réalité la Chine qui semble avoir le plus souffert de l’attaque.

 

La question des chiffres exacts de l’infection mérite également d’être discutée plus en avant. « Le chiffre largement partagé de 200 000 systèmes affectés par l’attaque nous paraît plus ou moins correct, mais reste une fourchette basse » selon Kryptos Logic. En effet selon eux, le nombre réel de machines affectées par la campagne tournerait plutôt aux alentours de 14 ou 16 millions de machines, mais le raisonnement utilisé pour parvenir à ce chiffre mérite quelques explications.

Comme l’explique la société, le malware infecte tout d’abord la machine, en exploitant notamment la vulnérabilité DOUBLEPULSAR publiée par le groupe des Shadow Brokers. Une fois la machine infectée, le malware va ensuite vérifier le nom de domaine « killswitch » afin de décider de la suite des opérations. Si le nom de domaine est actif, le malware ne chiffre pas les fichiers. Mais il ne disparaît pas pour autant de la machine : il continue de contacter le nom de domaine à intervalles réguliers, attendant le feu vert pour lancer activer le code malveillant et s’attaquer aux fichiers de la cible et dans certains cas, continue de scanner le réseau à la recherche d’autres machines potentiellement vulnérables.

« Nous estimons que plusieurs centaines de milliers de machines ont été directement affectées par le ransomware avant l’activation du kill switch. Suite à l’activation de celui-ci, nous estimons qu’environ 2 à 3 millions de systèmes ont été également affectés, sans que leur fonctionnement n’ait été altéré par le malware. » Des porteurs sains en quelque sorte, qui sont techniquement infectés, mais qui ont échappé à la perte des données grâce à l’initiative salutaire de MalwareTech et de Kryptos Logic.

L’analyse de la société aborde également d’autres aspects de l’attaque plus en détail : le mécanisme de propagation inefficace sur Windows XP notamment, ou encore les multiples attaques DDoS ayant visé le domaine du killswitch afin de faire reprendre l’infection. Kryptos Logic offre un éclairage inédit sur l’attaque et prend le temps d’expliquer en détail son raisonnement et ses estimations, ce qui offre une bonne vision d’ensemble de la campagne.

Notre dossier – Rançongiciel et ransomware : comprendre WannaCrypt 

WannaCry : plutôt 14 millions de machines affectés ?

Source : L’article << WannaCry : plutôt 14 millions de machines affectés ? >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2018-10-14T17:53:06+00:00

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des publicités ciblées et réaliser des statistiques de visites. Ok