Un ransomware fait 200 000 victimes dans 150 pays

Par

le

Une attaque informatique sans précédent de type ransomware a fait 200 000 victimes dans au moins 150 pays et ce nombre pourrait augmenter lorsque les gens retourneront au travail lundi.

Depuis vendredi, les médias parlent d’une attaque baptisée WannaCrypt. Celle-ci, qui est considérée comme la plus grande attaque de type ransomware jamais enregistrée, perturbe les ordinateurs qu’exploitent des usines, des banques, des organismes gouvernementaux et des systèmes de transport. Elle a paralysé le système de santé britannique pendant une journée, infectant près de 20% des établissements de santé, obligeant les traitements médicaux à être annulés ou reportés à des milliers de personnes. En France, des entreprises comme Renault sont également touchées.

Selon Europol, la cyberattaque a jusqu’à présent atteint plus de 200 000 organisations dans au moins 150 pays. Le porte-parole d’Europol, Jan Op Gen Oorth, a déclaré dimanche que le nombre de personnes qui ont été victimes de l’attaque par cyberextortion pourrait être beaucoup plus élevé.

Il a dit qu’il était trop tôt pour dire qui est derrière l’assaut ainsi que la motivation. Il a déclaré que le principal problème était la capacité de diffusion rapide du logiciel malveillant, mais a ajouté que jusqu’à présent, peu de gens ont payé les rançons que le virus exige.

Il a averti que davantage de personnes pourraient être frappées par le virus lundi quand elles retournent au travail et allumer leurs ordinateurs.

Les médias chinois signalent que le ransomware a attaqué de nombreux réseaux universitaires en Chine. Des étudiants de plusieurs universités du pays ont signalé avoir été frappé par le virus, ce qui a bloqué l’accès à leurs thèses et à leurs travaux de manière générale.

Dans chaque cas, une fenêtre pop-up exigeait des paiements de 300 $, soit environ 2 000 yuans, afin de libérer les fichiers.

MalwareTech, un jeune chercheur britannique en cybersécurité a découvert un moyen pour bloquer la chaîne de propagation de l’attaque. Alors qu’il étudiait le code source du ransomware, il a découvert dans la nuit de vendredi à samedi l’adresse d’un site web. Le virus tentait de se connecter à ce site lors de sa diffusion. Ainsi, si le site était injoignable, il poursuivait sa propagation. En se renseignant sur le site web, MalwareTech a constaté que celui-ci était à vendre. Il l’a alors simplement acheté, activant sans s’en rendre compte le mécanisme d’urgence qui semblait avoir été prévu par les créateurs du logiciel, ce qui a stoppé sa propagation.

Sans la découverte accidentelle du jeune chercheur en cybersécurité, la propagation du logiciel malveillant aurait vraisemblablement été beaucoup plus rapide.

Désormais la propagation est limitée. WannaCrypt exploitait une faille dans Windows corrigée pourtant depuis mars dernier mais Kaspersky détaille pourtant l’attaque a pris une telle ampleur :

« L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif. Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCrypt dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges ».


Articles recommandés