L'attaque WannaCry Ransomware aurait pu être bien pire

Le siège de la NSA, où les vulnérabilités logicielles vont être stockées en secret... puis volées, divulguées et déchaînées sur un public sans méfiance.





Vous en avez peut-être entendu parler : une attaque de ransomware à l'échelle mondiale connue sous le nom de WannaCry (et WannaCrypt et WannaDecryptor) a commencé vendredi, englobant finalement quelque 200 000 ordinateurs dans 150 pays.

Mais cela aurait pu être bien pire - et nous devons remercier les chercheurs en cybersécurité de s'être assurés que ce n'était pas le cas.

Alors même que la nouvelle se répandait encore vendredi que des ordinateurs dans des dizaines d'hôpitaux au Royaume-Uni étaient verrouillés de manière malveillante et qu'un avis demandant une rançon était affiché sur leurs écrans, un chercheur anonyme connu sous le nom de MalwareTech était en train d'arrêter la diffusion du programme. .



Comme elle rapporté dans un article de blog fascinant , MalwareTech avait trouvé une adresse URL non enregistrée dans le code de WannaCry. Soupçonnant que l'adresse avait quelque chose à voir avec la façon dont le virus communiquait - une caractéristique courante des botnets et d'autres types de logiciels malveillants - MalwareTech a enregistré le domaine et a vu le trafic de milliers d'ordinateurs infectés arriver, surchargeant presque le serveur hébergeant le domaine. Habituellement, ce type de mouvement de gouffre est un effort pour perturber un botnet, par exemple, en émettant des commandes vers des systèmes infectés.

Dans ce cas, le domaine s'est avéré être un kill switch - sur tout système qui a pris contact avec l'URL, le virus s'est arrêté de lui-même. WannaCry était sur le point de disparaître.

Comme l'a noté MalwareTech, cependant, les programmeurs malveillants pourraient facilement modifier le code de WannaCry pour cingler une nouvelle adresse à la place. Et ils l'ont fait. Dimanche, une nouvelle variante infectait des milliers de systèmes en Russie. Cela aussi a été réduit grâce au travail rapide d'un chercheur en cybersécurité .



Dans l'intervalle, Microsoft a pris la décision inhabituelle de se dépêcher de distribuer un correctif pour une faille dans la version non prise en charge de Windows que WannaCry exploitait. La National Security Agency des États-Unis avait été thésaurisation de la vulnérabilité , mais il a été divulgué après le vol des secrets de l'agence par un groupe de piratage connu sous le nom de Shadow Brokers.

Malheureusement, comme nous l'avons déjà dit, les rançongiciels sont devenus une forme populaire de cybercriminalité pour une simple raison : ils rapportent. Il est également difficile, mais pas impossible, de s'arrêter. Outre les attentats de ce week-end, des criminels ont verrouillé une partie du système de transport en commun de San Francisco et un hôpital de Los Angeles – dans ce dernier cas, forçant l'hôpital à débourser 17 000 $ pour retrouver l'accès à ses fichiers.

Les architectes de WannaCry recherchaient également un salaire rapide. Mais ils ont rendu assez facile le suivi de l'argent : le code de WannaCry contenait les adresses de trois portefeuilles Bitcoin. Lundi en milieu d'après-midi, un bot Twitter suivant les paiements aux portefeuilles a déclaré que les comptes contenaient un total d'un peu plus de 55 000 $.



Grâce à un tel examen minutieux, certains experts ont émis l'hypothèse que celui qui se cache derrière WannaCry n'osera pas essayer de faire un retrait des portefeuilles, craignant qu'il ne fasse sauter leur couverture. La somme elle-même pourrait aussi les faire réfléchir. Bien sûr, c'est beaucoup d'argent, mais cela aurait pu être beaucoup plus.

(Lire la suite: Technologie des logiciels malveillants , Temps de Los Angeles , Bbc , Quartz , Tenir des données en otage : le crime Internet parfait ? , Deux façons d'arrêter Ransomware dans son élan )



cacher