| CERT

Même s’il convient d’être prudent sur l’analyse, puisque certaines informations doivent encore être vérifiées et que les spéculations sont nombreuses, Openminded a souhaité vous proposer un point de situation et les premiers enseignements que l’on peut d’ores et déjà tirer de la cyberattaque massive Wannacry.

POINT DE SITUATION

Dans la journée de Vendredi, de nombreuses entreprises et institutions dans le monde ont été infectées par une campagne de Ransomware appelée “Wannacry”, qui se présente sous des appellations diverses (WanaCrypt, WanaCrypt0r,Wcry…), et qui chiffre la plupart des données utilisateur des postes de travail infectés tout en se propageant sur le réseau. Une rançon de 300$US à payer en bitcoins est alors réclamée (avec un doublement du montant si la rançon n’est pas payée dans les 3 jours et la suppression complète des fichiers au bout de 7 jours), pour la fourniture du logiciel de déchiffrement permettant (selon les hackers) de récupérer les données.

Cette infection est particulière car le malware sous-jacent combine deux éléments bien connus :

  • Un Ransomware, qui va chiffrer les données du poste infecté et exiger une rançon pour la fourniture d’une clé de déchiffrement
  • Un Ver, qui va utiliser une vulnérabilité “récente” dans un système d’exploitation très utilisé (Microsoft Windows) pour se propager et poursuivre l’infection

Les éléments qui ont permis de créer ce malware destructeur sont pourtant connus depuis le mois de mars et les mises à jour et outils permettant de s’en protéger disponibles. Ceci étant, les hackers qui en sont à l’origine savent pertinemment que de nombreux particuliers et entreprises ne sont pas protégés car ils ne déploient pas régulièrement et rapidement les mises à jour des systèmes d’exploitation, et que certains d’entre eux et elles ne disposent pas de moyens efficaces d’éviter l’infection primaire (l’apparition du premier malware sur un des postes connectés au réseau, avant propagation).

A ce jour, la liste des entreprises infectées (https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#List_of_affected_organizations) est assez édifiante, montrant l’intensité de la campagne initiale et l’efficacité malheureuse de l’outil d’infection. En France, il n’y a à ce jour que Renault qui a déclaré avoir été infecté, mais la liste pourrait malheureusement s’allonger dès Lundi, avec la reprise de l’activité bureautique dans les entreprises. A noter que depuis le décret N°2015-351 les OIV (Organismes d’importance vitale) ont l’obligation de déclarer à l’ANSSI leurs incidents de sécurité.

Enfin, il semblerait que cette attaque n’ait pas été particulièrement ciblée vers des organisations puisque des particuliers comme tout type d’entreprise ont été touchés. Il est fort probable (les informations qui paraîtront dans les jours à venir pourront le confirmer ou l’infirmer) que la motivation des hackers ait été purement financière : ils ont donc probablement avant tout cherché à infecter le plus de postes possibles pour augmenter la probabilité de versements de rançons et donc de gains. En effet, une étude récente conduite par IBM révèle que 70% des entreprises touchées paient la rançon. A 300$US la clé de déchiffrement et avec une infection qu’un ingénieur de l’éditeur d’antivirus Avast, Jakub Kroustek, estimait à plus de 100 000 systèmes en moins de 24 heures, et nous en sommes aujourd’hui à environ 200 000 :

https://intel.malwaretech.com/botnet/wcrypt

(…) il y a assez peu de doutes sur la finalité de l’attaque.

LE MALWARE ET SON FONCTIONNEMENT

Il semble que le vecteur d’infection original ne soit pas les mails. Nos recherches n’ont décelé sur ce mode de propagation aucun exemple. Il semble que s’atteler à observer ce qui se passe réellement dans la nature, produise des données factuelles bien plus intéressantes, par le monitoring de honeypot SMB par exemple, ce sur quoi il faut se concentrer. Un autre point : les données issues de VirusTotal, bien que produisant des informations peuvent seulement indiquer des souches qui y ont été envoyées, et pas ce qui circule réellement.

Ce phénomène est encore une fois assez connu et classique, et peut être évité avec une combinaison de sensibilisation des utilisateurs (basiquement, ne pas ouvrir de pièce jointe d’un expéditeur inconnu) et de dispositif de protection de la messagerie efficace.

La particularité de Wannacry est qu’une fois la primo-infection faite, c’est la phase de “ver” qui prend le relai avec une propagation au travers d’une faille dans les systèmes Microsoft découverte par la NSA à une date restant à ce jour inconnue. Tout porte à croire pour le moment que ce sont ses simples capacités de vers qui font que Wannacry se propage si vite via la faille sur le protocole SMB.

Cette faille a été révélée par le groupe “Shadow Brokers” et mise en accès libre, alors que Microsoft sortait de façon quasi concomitante un patch de correction de la plupart de ses systèmes Windows qui corrigeait cette vulnérabilité. Les “Shadow Brokers” ont ainsi mis en accès libre quelques outils conçus par la NSA, les exploits EternalBlue, EternalChampion, EternalSynergy et EternalRomance, et le framework FuzzBunch, sorte de Metasploit de la NSA, et chargent DoublePulsar sur les systèmes compromis. C’est l’un de ces exploits (a priori EternalBlue) et la vérification de la présence d’une backdoor (DoublePulsar) qui ont été utilisés dans la conception de Wannacry et qui permettent sa propagation sur les systèmes vulnérables.

Le schéma ci dessous, réalisé par la société de sécurité TrendMicro, décrit le comportement de Wannacry sur le poste infecté :

L’étape 2 est particulièrement intéressante et a donné lieu à un phénomène très étonnant qui a bloqué l’exécution et la propagation du malware, malheureusement probablement temporairement (car les hackers peuvent rapidement changer le domaine ou modifier le comportement du malware). En analysant Wannacry, un chercheur en sécurité “anonyme” portant le pseudo MalwareTech a pu identifier le nom de domaine sur lequel le malware fait une requête DNS et l’a “déposé” sans savoir qu’il allait en fait bloquer son exécution et sa propagation :

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Les raisons pour lesquelles les hackers qui ont conçu le malware ont ajouté cette étape, et n’auraient pas suffisamment protégé le code pour éviter qu’un simple enregistrement DNS le bloque, sont encore un peu floues. On peut cependant supposer que l’objectif était d’abord de contourner certains dispositifs de protection basés sur du sandboxing, à moins qu’un phénomène sous-jacent encore plus complexe échappe encore aux analystes ou que cette étape de killswitch permette aux attaquants de stopper l’infection via cet enregistrement DNS. Dans tous les cas, cette campagne interpelle : Le code du malware n’est pas obscurci ni polymorphique (il est donc facile un antivirus de l’attraper) alors que les techniques permettant de le faire sont légion… l’attaquant souhaitait il gagner beaucoup d’argent en peu de temps tout en évitant des dégâts trop importants en stoppant le phénomène via cette fonction killswitch ? L’avenir nous le dira… le problème étant désormais que le code étant accessible (cf ci-dessus), des évolutions du code d’origine ont vraisemblablement été faites (par les hackers d’origine ou d’autres) et que cette dernière n’a pas ce killswitch.

Les autres étapes sont assez classiques pour un ransomware et conduisent au chiffrement d’un nombre important de fichiers selon des mécanismes cryptographiques suffisamment puissants pour que les fichiers ne puissent pas être déchiffrés sans avoir la clé cryptographique.

ECLAIRCISSEMENTS

Comment savoir si je suis infecté et comment me protéger dans le cas contraire ?

Il existe plusieurs moyens de savoir si vous avez été infectés par ce ransomware spécifique. Nous souhaitons néanmoins attirer l’attention sur le fait que les informations suivantes sont “à l’état de la connaissance du jour” et qu’elles peuvent évoluer de jour en jour. Il nous semble également important de mentionner que cette vérification devrait être l’occasion de faire une passe complète sur l’état sanitaire de vos systèmes informatiques.

  • Si vous êtes un particulier avec une connaissance informatique limitée, nous pouvons vous conseiller d’utiliser l’outil Ransomfree de Cybereason : https://ransomfree.cybereason.com/ qui vous permettra rapidement de faire cette analyse et contribuer par la suite à une meilleure protection contre les attaques de type Ransomware. Dans tous les cas, nous ne saurions que trop vous conseiller d’activer la mise à jour automatique de votre système d’exploitation, et d’utiliser un dispositif de protection antiviral (celui de Microsoft était semble il efficace sur cette attaque s’il était à jour, tout comme ceux de la plupart des éditeurs de solution antivirus comme Avast ou Kaspersky par exemple).
  • Si vous êtes un “utilisateur” du système d’information de votre entreprise, votre support doit avoir la charge de faire cette vérification. Vous pouvez toutefois faire quelques vérifications simples avant leur intervention. Par exemple, vous pouvez rechercher sur votre poste si le fichier “!WannaDecryptor!.exe” ou si des fichiers possédant l’extension .WCRYT sont présents. Si c’est le cas, nous vous conseillons de déconnecter votre ordinateur du réseau de l’entreprise et de faire intervenir votre support.
  • Si vous êtes en charge de l’informatique de votre entreprise, vous pouvez faire les vérifications suivantes :
  1. Vérifier l’utilisation du protocole SMBv1
  2. Rechercher la présence des fichiers caractéristiques de l’infection (@Please_Read_Me@.txt,!WannaDecryptor!.exe…) sur vos partages et sur les postes des utilisateurs
  3. Rechercher des fichiers possédant les extensions suivantes :

.wnry
.wcry
.wncry
.wncryt

Que doit on faire si on est infecté ?

Malheureusement, il n’existe pas à ce jour de solution technique vous permettant de retrouver “directement” l’accès à vos fichiers, même si les chercheurs informatiques du monde entier y travaillent. Cependant, selon notre analyse et au vu du niveau de sophistication du malware, la probabilité que la solution soit trouvée rapidement est mince.

Si vous avez respecté les bonnes pratiques de sauvegarde ou de création de point de restauration par exemple, vous pouvez restaurer le système à un état “maîtrisé”. Les données dont nous disposons actuellement nous laissent penser que les premières infections n’ont pas plus de quelques jours. La restauration d’une sauvegarde réalisée antérieurement devrait ainsi permettre de restaurer un état de système sans l’infection. Vous aurez par contre perdu les données depuis la sauvegarde que vous restaurez. Ces sauvegardes peuvent être effectuées depuis votre poste ou éventuellement via des solutions de sauvegarde réseau ou en ligne que vous pourriez utiliser (Dropbox, Google Drive…) et qui n’auraient pas elles-mêmes été chiffrées par Wannacry.

Doit on payer la rançon ? Ceux qui l’ont payé ont-il récupéré leurs données ?

La recommandation faite par l’ANSSI est de ne pas payer la rançon pour deux raisons principales (au delà du fait que payer la rançon encourage cette pratique de cybercriminalité) :

  1. Vous n’avez pas la certitude qu’une fois que vous aurez payé, vos fichiers seront disponibles
  2. Vous risquez de compromettre votre moyen de paiement lors de la transaction

 

Si le 2e point n’est pas discutable (mais peut-être compensé par l’utilisation d’une carte bancaire à usage unique par exemple), le premier peut parfois prêter à controverse. En effet, il fait aujourd’hui consensus que la motivation des hackers derrière cette attaque est clairement financière. Une étude très intéressante de l’éditeur F-Secure a concerné 5 ransomware célèbres (même s’ils seront sans nul doute détrônés par Wannacry) et les résultats sont édifiants :

https://fsecureconsumer.files.wordpress.com/2016/07/customer_journey_of_crypto-ransomware_f-secure.pdf

Les Hackers prennent aujourd’hui des positions “commerciales” avec un support, la possibilité de tester le logiciel de déchiffrement gratuitement sur un fichier ou d’autres pratiques qu’on connaît plutôt dans l’édition de logiciel “légale”.

Ainsi, quel serait l’intérêt pour un groupe de Hacker de tuer la poule aux oeufs d’or de la profession d’éditeur de Ransomware en “ne servant pas ses clients”, alors qu’il n’y a derrière a priori aucun bénéfice financier direct à tirer de la destruction des fichiers ? Même si les témoignages sont rares, il y a une forte probabilité que le paiement de la rançon conduise à la “libération” des fichiers chiffrés par Wannacry.

Encore une fois, c’est une pratique que nous déconseillons et il est largement préférable de faire des restaurations depuis des points de sauvegarde si l’on est infecté, et de se protéger contre d’éventuelles futures infections avec une bonne maîtrise de la sécurité de son poste.

Pourquoi les hackers veulent ils être payés en Bitcoin ?

Le Bitcoin est aujourd’hui la crypto-monnaie la plus répandue, reposant sur le principe de la Blockchain. Sans rentrer dans des détails techniques concernant les crypto-monnaies ou le principe de Blockchain, cette crypto-monnaie et certaines des organisations qui l’utilisent permettent de “blanchir” de l’argent obtenu frauduleusement et “d’effacer les traces” de la provenance du paiement, ce qui est beaucoup plus complexe avec une transaction bancaire traditionnelle. Les hackers se font donc payer en Bitcoin essentiellement pour effacer leurs traces et convertir rapidement ces bitcoins en monnaie traditionnelle.

PREMIERS ENSEIGNEMENTS

Le principal enseignement que l’on peut tirer de cette cyberattaque d’envergure, est évidemment que les entreprises ne sont pas assez protégées, et pas prêtes à parer ces attaques. En effet, dans l’hypothèse “théorique” où les dispositifs de sécurité idoines avaient été en place et à jour, et que les postes de travail avaient tous été mis à jour suite à la publication du bulletin de sécurité Microsoft en Mars, Wannacry aurait été quasiment inefficace : il y aurait eu un nombre d’infections primaires particulièrement réduit voir nul, et même si quelques postes avaient pu être infectés, il n’y aurait pas eu de propagation puisque les postes à jour ne sont pas vulnérables à la propagation.

Cette attaque d’envergure et le fait qu’elle combine deux phénomènes (ransomware et propagation) nous démontre également que les attaques actuelles et à venir vont être de plus en plus élaborées et sophistiquées, et toucher un nombre de plus en plus important d’entreprises. Le risque de se trouver confronté à un ransomware se comportant comme un ver était redouté depuis quelques temps. Son rythme de propagation redoutable est particulièrement adapté dans ce contexte cybecriminel où les motivations semblent clairement pécuniaires. Malheureusement c’est surement le premier cas d’une longue liste. On peut également craindre l’essor de nouveaux botnets d’envergure qui pourraient mettre à mal les infrastructures d’Internet avec des attaques DDoS encore plus massives. Il sera ainsi fondamental que les entreprises mettent de plus en plus de moyens dans la protection de leurs systèmes, qu’elle que soit leur taille. Avec des outils et pratiques adaptées, elles limiteront ainsi très fortement leur exposition au risque qu’elles encourent et qu’elles font encourir pour les autres.

Enfin, la communauté sécurité cite couramment le cas problématique des systèmes industriels. Compte-tenu d’un historique relativement pauvre de prise en compte de la sécurité dans la conception de ces systèmes, et de leur longévité bien supérieure aux systèmes d’information plus classiques, il est souvent très difficile de les maintenir en conditions de sécurité (mises à jour appliquées systématiquement, remplacement des systèmes en fin de vie et non supportés comme Windows XP par exemple…). Certains industriels investissent massivement dans cette sécurisation, et nous ne pouvons bien évidemment que nous en féliciter. Bien sûr, d’autres moyens de prévention existent lorsqu’il n’est pas techniquement possible de patcher un système. Le recours à des solutions palliatives qui pourront agir en amont en filtrant les menaces sur le réseau ou sur le système lui-même peut permettre de réduire considérablement l’exposition à ces menaces.

Interview d'Hervé Rousseau pour BFM TV: Samedi 13 Mai 2017

Interview d'Hervé Rousseau pour le journal Soir3 : Samedi 13 Mai 2017

Je suis un bloc de texte, cliquez sur le bouton \ »éditer\ » pour me modifier. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.