TOOLinux

Le journal du Libre

WannaCry : récidives, variantes, porosité sous Linux

jeudi 19 septembre 2019

L’éditeur Sophos vient de publier un passionnant article sur le logiciel malveillant WannaCry. Deux ans et demi plus tard, la menace reste-t-elle endémique sous Windows ? Touche-t-elle directement ou indirectement Linux ?

Wannacry : origine

Wannacry est devenu tristement célèbre suite à l’attaque mondiale qui a débuté le 12 mai 2017. La recherche effectuée par les SophosLabs et détaillée dans ce document (PDF) baptisé WannaCry AfterShock montre que la menace WannaCry demeure importante, avec des millions de tentatives d’infection arrêtées tous les mois.

Autre enseignement : même si le malware d’origine n’a pas été mis à jour, plusieurs milliers de variantes éphémères courent toujours.

Métamorphose(s) de WannaCry

La persistance de la menace WannaCry est en grande partie due à la capacité de ces nouvelles variantes à contourner le « kill switch ». Toutefois, lorsque les chercheurs de Sophos ont analysé et exécuté un certain nombre de ces variantes, ils ont constaté que leur capacité à chiffrer les données avait été neutralisée : la conséquence a priori d’une corruption de code.

Le malware WannaCry d’origine n’a été détecté que 40 fois. Depuis, les chercheurs des SophosLabs ont identifié 12 480 variantes du code d’origine. Une inspection plus minutieuse de plus de 2 700 échantillons (soit 98% des détections) a révélé qu’ils avaient tous évolué pour contourner le « kill switch ». Il s’agit d’une URL spécifique qui, une fois le malware connecté, met automatiquement fin au processus d’infection. Il s’avère que tous avaient un composant ransomware corrompu et étaient incapable de chiffrer les données.



Variantes de WannaCry : un "vaccin accidentel"

En raison de la manière avec laquelle WannaCry infecte ses nouvelles victimes (à savoir vérifier si un ordinateur est déjà infecté et, le cas échéant, passer à une autre cible), l’infection par une version inerte de ce malware empêche efficacement le périphérique d’être infecté par la souche active. Traduction ? Les nouvelles variantes du malware agissent comme un "vaccin accidentel", offrant aux ordinateurs encore non corrigés et vulnérables une sorte d’immunité contre les attaques ultérieures du même malware.

"Cependant, le simple fait que ces ordinateurs puissent être infectés en premier lieu suggère que le correctif contre l’exploit principal, utilisé dans les attaques WannaCry, n’a pas été installé : un correctif publié il y a plus de deux ans." - Sophos

Des millions d’instances touchées en août 2019

En août dernier, la télémétrie Sophos a détecté 4,3 millions d’instances WannaCry. Le nombre de variantes différentes observées était de 6 963. Parmi elles, 5 555, soit 80%, étaient des nouveaux fichiers.

Les chercheurs ont également pu tracer la première apparition de la variante corrompue. Celle-ci, qui est la plus répandue aujourd’hui, est apparue deux jours seulement après l’attaque initiale : le 14 mai 2017, date à laquelle elle a été téléversée au niveau de VirusTotal. Elle n’a toutefois pas encore été observée sur le terrain.

Comment se protéger contre le malware WannaCry

En matière de cybersécurité, il n’existe pas de solution miracle, cependant, un modèle de cybersécurité multicouches s’avère être la meilleure pratique que toutes les entreprises devraient mettre en œuvre.

Wannacry et Windows

Vérifiez que vous avez un inventaire complet de tous les périphériques connectés à votre réseau et qu’ils sont tous à jour au niveau du logiciel de sécurité. Installez toujours les derniers correctifs dès leur publication, et ce sur tous les périphériques de votre réseau.

Vérifiez si vos ordinateurs sont corrigés contre l’exploit EternalBlue utilisé dans WannaCry en suivant les instructions suivantes.

Wannacry et Linux

Non, WannaCry n’infecte pas directement les systèmes GNU/Linux, mais uniquement Windows. Le logiciel malveillant utilise les failles CVE-2017-0146 et CVE-2017-0147. Mais attention : le maliciel est tout à fait susceptible d’infecter les systèmes Linux utilisant wine. Comment ? En utilisant une porte dérobée de SMB. Solution : rendre le domaine http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com disponible sur votre environnement de travail et télécharger le correctif officiel publié par Microsoft.

- L’article de Sophos (anglais, PDF)

Cédric Godart