Ransomware WannaCry/WCry : Plusieurs pays touchés par cette cyber-attaque de grande ampleur

Début 2017, deux risques de sécurité distincts ont été décelés : CVE-‎2017-0144, une faille du serveur SMB  pouvant permettre l’exécution à distance du code qui a été patché au mois de mars, et WannaCry/Wcry, une catégorie de ransomware relativement récente identifiée fin avril. Auparavant, WannaCry se diffusait via les URL Dropbox incorporées aux e-mails. Mais de nouvelles variantes prolifèrent par le biais de cette faille déjà identifiée. Celle-ci est à l’origine d’une des plus graves attaques de ransomware jamais observées à l’échelle planétaire.

La demande de rançon exigeait un paiement de 300 USD à régler en bitcoins. On notera que le montant exigé est inférieur aux demandes de rançon déjà rencontrées pour ce même type d’attaques. Outre les attaques initiales perpétrées au Royaume-Uni, d’autres pays ont été largement touchés.

Trend Micro a identifié les variantes utilisées lors de cette attaque comme RANSOM_WANA.A et RANSOM_WCRY.I. Nos clients sont déjà protégés face à ce type de menace grâce aux technologies de Machine Learning prédictives ainsi qu’à d’autres fonctionnalités de protection face aux ransomwares relevant de la technologie de sécurité Trend Micro XGen™.

Vecteur d’infection

La faille exploitée lors de cette attaque, baptisée EternalBlue, fait partie des failles divulguées par le collectif Shadow Brokers, lesquelles auraient été dérobées à la National Security Agency (NSA). Cette faille a été exploitée de manière à introduire un fichier à l’intérieur d’un système vulnérable, fichier qui a ensuite été exécuté en tant que service. Ce dernier a alors diffusé le ransomware dans le système infecté, chiffrant les fichiers sous l’extension .WNCRY. Un fichier annexe séparé permettant d’afficher la demande de rançon a ensuite été déposé, comportant un total de 176 extensions, dont ceux couramment utilisés par Microsoft Office, les bases de données, les archives de fichiers, les fichiers multimédia et les divers langages de programmation.

 

 

 

 

Schéma 1 : Processus d’infection

 

 

 

 

 

 

 

 

Schéma 2 : demande de rançon

Les retours d’information issus de Smart Protection Network indiquent que, hors Royaume-Uni, le Chili, le Japon et Taïwan ont tous été touchés sérieusement par cette menace. L’Inde et les États-Unis ont également été affectés.

Pour contaminer les autres systèmes, le ransomware utilise le fichier déposé puis exécuté en tant que service. Ce service emprunte le nom « Microsoft Security Center (2.0) ». Il recherche les serveurs SMB partagés sur le réseau et exploite la faille EternalBlue pour infecter les autres systèmes.

Schéma 3 : service supplémentaire

Comme indiqué précédemment, la faille SMBv1 exploitée dans le cadre de cette attaque avait déjà été patchée en mars par Microsoft. Avant cela, en septembre 2016, Microsoft avait fortement recommandé à ses utilisateurs d’abandonner SMBv1, qui datait du début des années 1990. US-CERT avait émis des recommandations identiques. Les entreprises ayant suivi les meilleures pratiques, tant en termes de patches que de configuration des services SMB, n’ont pas été touchés par cette attaque.

Propagation et coupe-circuit

Cette menace s’est développée très vite, mais la première vague s’est rapidement tarie. Comment expliquer cela ?

En l’occurrence, ce ransomware se distinguait par un composant très peu courant : un fichier de type « worm ». Celui-ci tentait de corrompre des machines situées sur un réseau LAN et sur Internet via la même faille EternalBlue. Cette tentative de contamination était effectuée par le service avant que le ransomware ne soit déposé et exécuté. L’attaque opérait en cherchant à atteindre les adresses IP suivantes :

  • Sur le réseau LAN, en recherchant toutes les adresses répertoriées avec un port 445 ouvert (port SMB)
  • Sur Internet, en recherchant des adresses IP au hasard pour voir si celles-ci disposaient d’un port 445 ouvert. Le cas échéant, elle analysait tous les appareils possédant le même masque réseau /24 IP que l’adresse identifiée, à savoir les adresses IP présentant une séquence identique sur les trois premiers octets.

 

 

 

 

 

Schéma 4 : schéma de propagation

Cela signifie que si WannaCry/Wcry réussit à infiltrer le réseau d’une entreprise, il peut se répandre très rapidement. Toute machine ou tout réseau possédant un port 445 ouvert à Internet est exposé.

Néanmoins, les infections initiales se sont désamorcées très rapidement car ce ransomware comportait un coupe-circuit intégré. Le ransomware accédait à un domaine jusque-là inexistant et s’il était actif, il cessait alors de fonctionner instantanément, avant même que le moindre chiffrage ou que la moindre contamination ait eu lieu. Les raisons pour lesquelles ce coupe-circuit était présent dans le code du programme demeurent obscures.

Trend Micro OfficeScan™ et sa technologie de protection XGen associe des technologies de Machine Learning à d’autres technologies de détection et flux d’information relatifs aux menaces, offrant une protection complète face aux ransomwares et aux programmes malveillants sophistiqués. Comme précisé ci-dessus, nous détectons ces menaces en tant que RANSOM_WANA.A et RANSOM_WCRY.I. Les produits bénéficiant des technologies de Machine Learning et de toutes les fonctionnalités de protection face aux ransomwares précédemment déployées sont d’ores et déjà protégés face à cette menace.

Solutions Trend Micro

Trend Micro Deep Security™ et Vulnerability Protection, Deep Discovery™ Inspector, TippingPoint et Trend Micro Home Network Security assurent la protection face à cette menace. Pour consulter une liste complète des règles et de filtres associés pour les produits Trend Micro et TippingPoint, veuillez-vous référer à la page de support Trend Micro.

Voici la liste de chaînes SHA256 relatives à ce ransomware :

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

[À LIRE ÉGALEMENT : Identifiez les failles dans votre solution de sécurité actuelle pour les Endpoints à l’aide de l’outil gratuit Trend Micro Machine Learning Assessment.]

Leave a Reply

Your email address will not be published. Required fields are marked *