L'exploit WannaCry continue de toucher de grandes entreprises

En conservant le même fonctionnement que le ransomware WannaCry, le ver continue de faire des ravages et de miner du Monero sans le consentement des possesseurs des machines.

EternalBlue refuse ainsi de disparaître, et c'est en grande partie dû aux systèmes d'exploitation non maintenus à jour pour cause de négligence ou de licence piratée.

Une rançon pour récupérer les données

En mai 2017, l'attaque WannaCry touchait pas loin de 300 000 ordinateurs dans 150 pays. Le matériel infecté par le ransomware prenait en otages les données personnelles de l'utilisateur après que celui-ci a cliqué sur un lien contenu, par exemple, dans un e-mail.

Le virus réalisait alors un chiffrement des données et proposait de les déchiffrer en échange d'une rançon en Bitcoins. De nombreuses grandes entreprises ont ainsi été touchées : le constructeur automobile Renault, le groupe espagnol Telefonica, la Deutsche Bahn allemande ou encore plusieurs ministères russes - le pays le plus touché selon l'entreprise de sécurité Kaspersky.

Cette attaque de grande ampleur mettait en avant la nécessité de corriger les failles de Windows. En effet, les hackers qui ont mis en place WannaCry ont utilisé une faille de l'OS de Microsoft baptisée EternalBlue qui concerne tous les systèmes d'exploitation antérieurs à Windows 10 et qui était connue et utilisée depuis un bon moment par la NSA sans que l'agence de renseignement américaine n'ait communiqué sur le sujet.

La faille de sécurité EternalBlue existe encore

Un peu plus d'un an après ces attaques, WannaMine continue de se répandre. Amit Serper, responsable de la recherche sur la sécurité chez Cybereason, vient de publier les résultats de recherches sur une attaque récente contre l'un de ses clients. Le ransomware malveillant a affecté « des dizaines de contrôleurs de domaine et environ 2 000 points de terminaison » a déclaré M. Serper, après avoir eu accès à un serveur SMB non protégé.

De plus, et c'est l'un des points inquiétants de l'étude, le logiciel malveillant continue d'utiliser certains des serveurs qui lui étaient associés à l'origine. Serper a donc contacté tous les hébergeurs qu'il pouvait identifier à partir des adresses IP... mais n'a reçu aucune réponse. « Tant que les organisations n'auront pas corrigé et mis à jour leurs machines, ils continueront de voir les cybercriminels exploiter ces outils pour une raison simple : ils fonctionnent ».

Une autre raison de la ténacité d'EternalBlue est qu'elle est particulièrement efficace sur des version crackées ou piratées de Windows, comme l'explique Mikel Echevarria Lizarraga, analyste chez Avira Protection Lab :

« Nous avons découvert que beaucoup de ces machines avaient recours à des crack d'activation, ce qui signifiait qu'elles étaient dans l'impossibilité de recevoir des mises à jour de Windows et de les installer. Cela signifie également qu'elles n'ont pas reçu le patch d'urgence publié par Microsoft pour cette vulnérabilité. »

EternalBlue toujours d'actualité dans le milieu du Cryptojacking

Le problème ne touche pas uniquement la rançon de données puisque le protocole est aussi utilisé pour mettre en place des opérations de cryptojacking. Ce procédé utilise la puissance de calcul à l'insu du propriétaire de la machine pour miner des cryptomonnaies comme l'Ethereum ou le Monero. Ces scripts de minage sont généralement cachés dans des pages web traditionnels, mais la faille EternalBlue procure un nouveau moyen de minage pour les acteurs malveillants. Cette méthode avait été découverte en février dernier avec le botnet Smominru et plus d'un an après elle est toujours d'actualité selon Cybereason.

Il est désormais temps que les entreprises et les individus prennent des mesures efficaces pour se protéger et ainsi faire en sorte que la faille ne soit plus utilisée par les cybercriminels.