Rançongiciel WannaCry : Interview avec les experts en rançongiciels d’Emsisoft

WannaCry Ransomware Main Image

Le rançongiciel WannaCry fait la une des médias, et à juste titre vu les dégâts qu’il laisse après son passage. Au fur et à mesure que les médias sautent sur la moindre information qui s’approche de près ou de loin du sujet, certains articles sèment plus le doute qu’ils ne lèvent le voile sur le sujet.

La vérité ? Le rançongiciel WannaCry a frappé des centaines de milliers d’ordinateurs depuis son arrivée sur la Toile le 12 mai 2017, et a volé la vedette à toute autre menace malveillante.

En quoi diffère-t-il du reste ? Comment a-t-il pu se propager si vite ? Et que l’avenir nous réserve-t-il en termes d’attaques de rançongiciels ?

Pour le savoir, nous avons décidé d’en parler avec le directeur technique d’Emsisoft et leader de notre labo de recherche anti-malware,  Fabian Wosar, et la chercheuse anti-malware d’Emsisoft, Sarah W., afin de déterminer le vrai du faux au sujet de WannaCry, de définir la meilleure stratégie de protection et d’expliquer pourquoi les sauvegardes sont plus importantes maintenant que jamais .

Merci de prendre le temps de nous parler de WannaCry et des conséquences possibles pour nos clients. Commençons par la question que tout le monde se pose : En quoi ce rançongiciel est-il différent des autres, et comment fait-il pour se propager si vite ?

Au quotidien, nous surveillons différents canaux dans le but d’identifier et de suivre les activités des rançongiciels. Citons les flux de recherche et de découverte des logiciels malveillants, les canaux communautaires comme les forums,  ID Ransomware et Twitter. Vendredi matin, ce sont les nombreux twittos au sujet de WannaCry qui ont attiré notre attention.

Nous avons vite compris que nous n’avions pas affaire à une attaque de rançongiciel classique lorsque nous avons constaté que le site de la NHS avait été touché et que des réseaux entiers devenaient victimes de WannaCry en un rien de temps.

Propagation de WannaCry

La faille “Eternal Blue” de Windows [un exploit découvert par la NSA mais dont l’agence en a minimisé l’importance] a été divulguée, conjointement à d’autres, par le groupe de piratage The Shadow Brokers en mars 2017. WannaCry utilise un type de ver informatique qui se répand rapidement sur les réseaux via la faille présente dans les anciens systèmes d’exploitation de Microsoft non mis à jour, et donc présentant encore cette vulnérabilité, comme Windows XP. En règle générale, le rançongiciel se télécharge sur un ordinateur à la fois. Cependant, avec ce ver informatique, une fois qu’il se trouve dans un réseau, il se répand tel un incendie, d’un ordinateur à un autre, sans que l’utilisateur de l’ordinateur n’intervienne.

Ce problème a effectivement été corrigé par Microsoft en mars 2017, ce qui signifie que le ver informatique n’a touché que les ordinateurs exécutant des systèmes d’exploitation obsolètes. Typiquement, les hôpitaux sont des cibles de choix car leur matériel existant n’est pas conçu pour gérer les systèmes d’exploitation modernes. Toutefois, ils restent connectés à Internet.

Étant donné que ce ver informatique n’affecte que les ordinateurs qui n’ont pas installé la mise à jour de Windows la plus récente, tout ordinateur connecté à Internet et vulnérable est considéré à risque. C’est pourquoi nous insistons toujours sur l’importance d’effectuer les mises à jour de tous les logiciels, en particulier de votre système d’exploitation, dès leurs publications.

Comment se propage WannaCry

Comparativement aux autres attaques mondiales de rançongiciel, quel est le degré de sophistication de WannaCry ?

Le ver informatique WannaCry ne fait parler de lui qu’à cause de l’exploit de la NSA (Eternal Blue) qu’il utilise. Cependant, ce code d’exploitation n’a pas été écrit par l’auteur de logiciels malveillants, il s’agit plutôt d’un copier-coller. Il n’y a rien de sophistiqué ou d’exceptionnel quand on se contente d’agir de la sorte.

Outre son comportement typique de ver informatique, WannaCry n’a rien de remarquable d’un point de vue rançongiciel. En tout cas, il est assez peu sophistiqué.

Mais c’est un problème majeur pour les victimes. Le code utilisé pour générer une adresse Bitcoin individuelle pour chaque utilisateur n’était pas activé, ce qui signifie que l’ensemble des victimes doivent se partager trois adresses Bitcoin.

Les criminels n’auront donc qu’une très vague idée de l’identité des victimes qui ont réellement payé. Comme il n’y a pas de déchiffrage automatique selon l’adresse Bitcoin d’un individu, les chances de voir vos fichiers déchiffrés après paiement sont très faibles.

Demande de rançon de WannaCry

Demande de rançon de WannaCry

Depuis le début de l’épidémie, les chercheurs en sécurité ont réussi à trouver un “coupe-circuit”. Expliquez-nous en quoi cela consiste exactement.

Essentiellement, les logiciels malveillants n’aiment pas être découverts dans les systèmes d’exploitation car il est ainsi possible d’analyser le code, ce qui permet parfois de découvrir l’identité du cybercriminel à l’origine de l’attaque. De par leur nature, les logiciels malveillants font généralement leur possible pour éviter de se faire analyser, en essayant de détecter les environnements artificiels, généralement appelés “sandboxes” (bacs à sable), mis en place par les chercheurs dans le but d’observer et de manipuler des échantillons de logiciels malveillants fonctionnant sur un système.

Les sandboxes ne sont généralement pas connectées à Internet, cependant de nombreux logiciels malveillants ont besoin d’accéder à Internet pour fonctionner correctement. Ainsi, les sandboxes simulent souvent un environnement Internet, où chaque connexion à Internet réussit toujours, et chaque adresse Internet affiche quelque chose d’utile.

Une des méthodes utilisées par un logiciel malveillant pour détecter un tel environnement consiste simplement à essayer d’accéder à une adresse Internet qu’il sait n’existe pas. S’il y arrive, il présumera qu’il est exécuté dans un environnement de sandbox. Le logiciel malveillant cessera alors toutes ces activités, afin de ne pouvoir être observé et de se faire passer pour un programme inoffensif. C’est ce qu’on appelle un “coupe-circuit”.

Habituellement, ces contrôles sont effectués en générant aléatoirement des noms de domaine mais dans ce cas particulier, l’auteur du rançongiciel WannaCry a choisi d’utiliser un nom de domaine fixe. Donc, quand un autre chercheur a décidé d’enregistrer ledit nom de domaine, il est alors aussi devenu accessible sur Internet, pour de vrai. Aux yeux du logiciel malveillant, tous les systèmes connectés directement à Internet sont alors devenus des sandboxes, c’est pourquoi il a immédiatement cessé ses activités, se pensant observés.

Pourtant, on ne sait toujours pas si l’auteur de WannaCry avait envisagé un tel coupe-circuit ou non. Ce que nous savons, c’est que le rançongiciel n’a pour l’instant pas été modifié… et que le ver informatique qui lui permet de se propager non plus. Jusqu’à présent, aucune preuve n’existe permettant de penser que le ver a été corrigé et recompilé, recourant à un autre coupe-circuit, à part quelques variantes modifiées manuellement, n’ayant toutefois pas la même portée que l’original.

Vous attendez-vous à d’autres attaques de rançongiciel tirant profit de ces exploits ?

C’est très probable. Nous sommes convaincus que davantage de criminels recourront à un ver similaire pour diffuser des logiciels malveillants, notamment d’autres rançongiciels. D’ailleurs, un spécialiste en minage de crypto-monnaie se propage déjà de cette manière. Étant donné que d’autres rançongiciels, comme Spora, se sont, par le passé, appuyés sur des méthodes de paiement beaucoup plus sophistiquées, la question n’est pas “si”, mais plutôt “quand” verra-t-on un autre rançongiciel mondial plus prospère, tirer encore mieux profit de ses victimes.

Rançongiciels : découvrez en plus sur les modes d’infection les plus courants

Existe-t-il un moyen de déchiffrer mes données si je suis une victime du rançongiciel WannaCry ?

Malheureusement, pas pour l’instant car WannaCry utilise un chiffrage sécurisé. Même si vous payez les criminels, comme nous l’avons mentionné ci-dessus, ils n’ont aucun moyen de suivre les paiements, de sorte qu’il est fort probable que vous ne récupériez jamais vos fichiers, et que l’on vous demande toujours plus d’argent.

Les clients d’Emsisoft n’ont pas souffert de cette attaque. Pouvez-vous nous en donner la raison et nous expliquer pourquoi d’autres logiciels de sécurité n’ont pas été en mesure de détecter la menace ?

Je pense que, dans certains cas, les victimes n’exécutaient tout simplement pas de logiciel antivirus ou de sécurité. Pour les internautes qui utilisaient des logiciels de sécurité, nous supposons que les capacités de détection de comportement des rançongiciels pourrient être légèrement améliorées.

Les produits d’Emsisoft utilisent notamment plusieurs couches de protection pour garantir la sécurité de ses utilisateurs. Nous croyons qu’aucune technologie n’est totalement invincible. Cependant, en appliquant plusieurs technologies différentes, le degré de protection est d’autant plus élevé. Dans le cas de WannaCry, les clients d’Emsisoft ont bénéficié dès le début d’une protection optimale grâce à notre approche triple couches :

  1. Pare-feu : si vous utilisez l’Emsisoft Internet Security, le pare-feu intégré a empêché qu’un tiers accède à votre port 445, qui est le port que le protocole SMB vulnérable écoute par défaut et que le ver informatique de WannaCry contacte pour s’infiltrer. Si le port est inaccessible, l’infestation n’aura pas lieu, garantissant la protection de votre système contre les logiciels malveillants.
  2. Gardien de fichier : juste avant l’activation du ver informatique dans un système, Gardien de fichier en vérifie l’existence dans notre base de données de signature. Les signatures génériques que nous avons créées lors de l’épidémie de WannaCry en février couvraient la plupart des variantes utilisées dans cette attaque, de sorte que l’attaque a pu être stoppée. Les variantes non intégrées à l’époque ont été ajoutées à la base de données 30 minutes après l’apparition de la dernière épidémie.
  3. Analyse de comportement : une fois que le composant du ver informatique est activé, la technologie d’analyse de comportement se met en marche, détectant la tentative d’infection malveillante du système local ainsi que celle d’infection des autres systèmes sur le réseau. De même, une fois que le composant du rançongiciel devient actif, Analyse de comportement d’Emsisoft détecte que le comportement est celui d’un rançongiciel et donc l’arrête net.

Comme nous pensons qu’il est préférable de ne pas mettre tous nos œufs dans le même panier, nos produits sont conçus de manière à ce que les trois couches forment successivement un obstacle à surmonter. Même si une couche n’arrête pas l’infection, les autres se tiennent prêtes à intervenir.

Cela dit, nous sommes conscients qu’aucun produit n’est en mesure de tout détecter. C’est pourquoi il est primordial de sécuriser votre système et d’effectuer des sauvegardes régulièrement.

 Suite à cette attaque, quel est le degré de vulnérabilité des particuliers et des entreprises ? Que peuvent également faire les internautes pour se protéger contre les attaques de rançongiciels ?

La philosophie de sauvegarde 321 est la meilleure protection contre les rançongiciels :

321_backup_philosophy_alt

Toujours effectuer, le plus tôt possible, les mises à jour de votre système d’exploitation et de toutes les applications présentant des risques élevés (celles directement connectées à Internet ou utilisées pour modifier ou afficher des documents provenant d’Internet ou d’e-mails, comme des navigateurs, des lecteurs de fichiers PDF, des lecteurs multimédias, des clients de messagerie, etc.) est la deuxième chose la plus importante.

Oui, il arrive parfois que les mises à jour sèment un peu la zizanie. Cependant, effectuer de bonnes sauvegardent minimise les risques car cela permet à l’utilisateur de restaurer la version précédente facilement en cas de problème. Les sauvegardes, ça sert aussi parfois à ça !

Dernier point, mais pas des moindres, utiliser un logiciel anti-malware à jour permet de vous protéger contre la vaste majorité des logiciels malveillants, alors n’hésitez plus et installez-en un ! S’appuyer également sur un pare-feu, qu’il s’agisse d’un routeur, du pare-feu Windows ou de produits dédiés comme l’Emsisoft Internet Security, contribue à diminuer le risque d’infection par des vers informatiques, comme WannaCry, car ils isolent les services potentiellement vulnérables d’Internet.

Nous vous souhaitons une excellente journée (à l’abri de WannaCry) !

CTA_EAM_Ransomware_FR